以前写过一篇关于session、cookie的博文，都是简单的介绍。不过session和cookie和网络安全可有着密切的关系。

　　今天主要从这几个方面总结下最近学到的东西：

　　　　1. session 两种类型

　　　　2. session 存储方式; session 和 cookie 的关系，禁用cookie; session 共享

　　　　3. session 覆盖

　　　　4. xss 和 crsf

 

　　一. session 和 flash session，直接上图：

　　　　

　　二. 这个请看 http://www.cnblogs.com/melody68/p/5004828.html，这里就不再赘述；

 

　　三. 举个实例：

　　　　网站找回密码的流程是 填写账号->验证身份->修改密码/找回密码，即：

　　　　第一步填写账号－用session或cookie记录用户账号

　　　　第二步验证身份－回答一些问题 存储是否正确 正确跳第三部

　　　　第三步修改密码－根据第一步的账号和第二步的验证结果进行密码重置操作

　　　　这样就存在一个问题，我用自己的账号aaaa完成前两步(不再进行下去), 然后再用该网站的其它用户bbbb完成第一步，接下来我就可以修改bbbb的密码了。

　　　　解决方案自己想哦。

　　四. xss 和 crsf 的介绍就不用说了，网上到处都是。

　　　　xss (cross site script) - 意思是这个脚本不是该网站的，但是可以执行。

　　　　csrf（Cross-site request forgery) - 意思是伪造用户的请求。

　　　　xss 是用户自己操作的，csrf 是冒用用户操作的，有两篇文章写的很好：

　　　　http://coolshell.cn/articles/4914.html

　　　　https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/

　　　　防范(主要讲下个人方面)：

　　　   　　xss (cookie)  不要让你的请求可以随便被获取 -- 不要随便连免费wifi

　　　　　　csrf   不要随便点别人给你的链接

　　注：分析web问题的时候一般要从这三步分析：输入 业务处理 输出