003-【CS253】【网络安全】【Web Security】【斯坦福大学】【中

1. Cookie（Cookie文件）用于在Web应用程序中实现会话的概念。

2. Cookie用于各种目的，如登录、购物车和追踪。

3. Cookie会随着每个请求发送到同一服务器，并不会发送到其他网站。

4. 通过将过期日期设置为过去的时间，可以清除Cookie。

5. 当前系统存在安全问题，因为任何人都可以更改Cookie中的用户名。

6. 使用签名的方式可以确保cookie的值在传输过程中没有被篡改。

7. 签名算法需要具备正确性和安全性两个属性。

8. 签名算法的正确性意味着使用私钥签名的值，可以通过公钥和相同的输入验证。

9. 签名算法的安全性意味着无法伪造一个有效的签名。

10. 使用签名算法可以确保用户在发送cookie时，服务器能够验证其真实性。

11. 使用数据库将数字ID映射到已登录的用户。

12. 用户登录时，服务器会为其分配一个随机的会话ID。

13. 用户登出时，服务器会从数据库中删除对应的会话ID。

14. 通过使用会话ID来验证用户身份，可以避免恶意软件窃取cookie的问题。

15. 使用会话ID还可以实现远程删除已登录的会话。

16. Cookie（Cookie文件）用于存储会话信息，如果没有适当的安全措施，可以用于劫持会话。

17. Cookie中的路径属性存在问题，不能依赖它来隔离Cookie。

18. Cookie中的域属性允许Cookie作用于更广泛的域。

19. JavaScript API用于访问Cookie非常复杂，不够用户友好。

20. 如果Cookie被盗取，会发生会话劫持，使用HTTPS并在Cookie中设置secure属性可以帮助防止这种情况发生。

21. 攻击者如果能够在网站内运行他们的代码，可以窃取cookie。

22. 通过创建一个HTTP GET请求，攻击者可以将cookie发送到自己的服务器。

23. 使用HTTP Only可以防止攻击者在页面中运行代码时窃取cookie。

24. 路径限制不能有效保护cookie免受未经授权的读取。

25. 同源策略决定了浏览器是否允许在不同域名、端口和协议下操作页面。