我的一位朋友进行了面试,并被问到几个多重问题。其中一个问题是
其中哪些可以在客户端操作: cookie数据,会话数据,远程ip,用户代理
我会说那个会话是唯一一个你无法编写的会话(我的意思是,你可以劫持它等但你无法根据问题的建议改变它的数据)
您怎么看?
答案 0 :(得分:3)
Cookie数据和用户代理显然可以随意操作。
就像你说会话数据本身无法操纵一样,你只能劫持会话,窃取用于将用户与会话相关联的cookie,......
远程IP是一项艰难的通话。由于http基于TCP,因此无法伪造任意远程IP。您可以使用代理隐藏您的真实IP。但要伪造另一个IP,您需要能够接收发往该IP的数据包。而且,只有当您成为通往该IP的路径的一部分时,您通常才能这样做。相关旧问题Application Security Concerns: How easy is it to fake an IP-Address?
答案 1 :(得分:2)
Cookie数据和用户代理可以完全由客户提供,即可以操作。
IP地址可以被欺骗(使用本地访问和/或技术和组织专有技术),但它始终采用有效格式,即永远不是任意字符串。
会话数据由服务器本身管理,无法操作。但是,攻击者可能会与其他会话关联,例如通过捕获其他用户的cookie。