浏览器所有的Cookie分为两种:一种是“Session Cookie”,又称“临时Cookie”;另一种是“Third-party-Cookie”,也称为“本地Cookie”;
两者的区别在于“Third-party-Cookie”是服务器在set-Cookie时指定了EXpire时间,只有到了Expire时间后Cookie才会失效,所以这种Cookie会保存在本地;而Session Cookie则没有指定的Expire时间,所以浏览器关闭后,Session Cookie就失效了。
如果浏览器从一个域页面加载另一个域的资源,由于安全原因,某些浏览器会阻止Third-party Cookie的发送。
下面一个例子,演示这一过程。
在http://www.h921.club/cookie.php中,会给浏览器写两个Cookie:一个是Session Cookie,另一个是Third-party-Cookie。
<?php
header("Set-Cookie: cookie1=123;");
header("Set-cookie: cookie2=456;expire=Thu, 01-Jan-2030 00:00:01 GMT;",false);
?>
访问这个页面,发现浏览器接收了两个Cookie。
这时再打开一个新的页面,访问同一个域中的不同页面,因为新的Tab页在同一个浏览器进程中,因此Session-Cookie会被发送。
此时在另一个域中,有页面http://www.b.com/csrf.html,此页面构造了CSRF来访问www.a.com。
<iframe src="http://www.a.com"></iframe>```
这时发现只能发送Session Cookie,而Third-party-Cookie被静止了。
这是因为IE出于安全考虑,默认禁止浏览器在,,
扫描二维码关注公众号,回复:
10847872 查看本文章
