Ⅰ Web安全测试的作品目录
序 1
前言 3
第1章 绪论 13
1.1 什么是安全测试 13
1.2 什么是Web应用 17
1.3 Web应用基础 21
1.4 Web应用安全测试 25
1.5 方法才是重点 26
第2章 安装免费工具 29
2.1 安装Firefox 29
2.2 安装Firefox扩展 30
2.3 安装Firebug 31
2.4 安装OWASP的WebScarab 32
2.5 在Windows上安装Perl及其软件包 33
2.6 在Linux, Unix或OS X上安装Perl和使用CPAN 34
2.7 安装CAL9000 35
2.8 安装ViewState Decoder 36
2.9 安装cURL 36
2.10 安装Pornzilla 37
2.11 安装Cygwin 38
2.12 安装Nikto 2 39
2.13 安装Burp Suite 40
2.14 安装Apache HTTP Server 41
第3章 基本观察 43
3.1 查看网页的HTML源代码 44
3.2 查看源代码,高级功能 45
3.3 使用Firebug观察实时的请求头 48
3.4 使用WebScarab观察实时的POST数据 52
3.5 查看隐藏表单域 55
3.6 使用TamperData观察实时的响应头 56
3.7 高亮显示JavaScript和注释 59
3.8 检测JavaScript事件 60
3.9 修改特定的元素属性 61
3.10 动态跟踪元素属性 63
3.11 结论 65
第4章 面向Web的数据编码 66
4.1 辨别二进制数据表示 67
4.2 使用Base-64 69
4.3 在网页中转换Base-36数字 71
4.4 在Perl中使用Base-36 71
4.5 使用以URL方式编码的数据 72
4.6 使用HTML实体数据 74
4.7 计算散列值 76
4.8 辨别时间格式 78
4.9 以编程方式对时间值进行编码 80
4.11 解码多重编码 83
第5章 篡改输入 85
5.1 截获和修改POST请求 86
5.2 绕过输入限制 89
5.3 篡改URL 90
5.4 自动篡改URL 93
5.5 测试对URL长度的处理 94
5.6 编辑Cookie 96
5.7 伪造浏览器头信息 99
5.8 上传带有恶意文件名的文件 101
5.9 上传大文件 104
5.10 上传恶意XML实体文件 105
5.11 上传恶意XML结构 107
5.12 上传恶意ZIP文件 109
5.13 上传样例病毒文件 110
5.14 绕过用户界面的限制 111
第6章 自动化批量扫描 114
6.1 使用WebScarab爬行网站 115
6.2 将爬行结果转换为清单 117
6.3 减少要测试的URL 120
6.4 使用电子表格程序来精简列表 120
6.5 使用LWP对网站做镜像 121
6.6 使用wget对网站做镜像 123
6.7 使用wget对特定的清单做镜像 124
6.8 使用Nikto扫描网站 125
6.9 理解Nikto的输出结果 127
6.10 使用Nikto扫描HTTPS站点 128
6.11 使用带身份验证的Nikto 129
6.12 在特定起始点启动Nikto 130
6.13 在Nikto中使用特定的会话Cookie 131
6.14 使用WSFuzzer测试Web服务 132
6.15 理解WSFuzzer的输出结果 134
第7章 使用cURL实现特定任务的自动化 137
7.1 使用cURL获取页面 138
7.2 获取URL的许多变体 139
7.3 自动跟踪重定向 140
7.4 使用cURL检查跨站式脚本 141
7.5 使用cURL检查目录遍历 144
7.6 冒充特定类型的网页浏览器或设备 147
7.7 以交互方式冒充另一种设备 149
7.8 使用cURL模仿搜索引擎 151
7.9 通过假造Referer头信息来伪造工作流程 152
7.10 仅获取HTTP头 153
7.11 使用cURL发送POST请求 154
7.12 保持会话状态 156
7.13 操纵Cookie 157
7.14 使用cURL上传文件 158
7.15 建立多级测试用例 159
7.16 结论 164
第8章 使用LibWWWPerl实现自动化 166
8.1 编写简单的Perl脚本来获取页面 167
8.2 以编程方式更改参数 169
8.3 使用POST模仿表单输入 170
8.4 捕获和保存Cookie 172
8.5 检查会话过期 173
8.6 测试会话固定 175
8.7 发送恶意Cookie值 177
8.8 上传恶意文件内容 179
8.9 上传带有恶意名称的文件 181
8.10 上传病毒到应用 182
8.11 使用Perl解析接收到的值 184
8.12 以编程方式来编辑页面 186
8.13 使用线程化提高性能 189
第9章 查找设计缺陷 191
9.1 绕过必需的导航 192
9.2 尝试特权操作 194
9.3 滥用密码恢复 195
9.4 滥用可预测的标识符 197
9.5 预测凭证 199
9.6 找出应用中的随机数 200
9.7 测试随机数 202
9.8 滥用可重复性 204
9.9 滥用高负载操作 206
9.10 滥用限制性的功能 208
9.11 滥用竞争条件 209
第10章 攻击AJAX 211
10.1 观察实时的AJAX请求 213
10.2 识别应用中的JavaScript 214
10.3 从AJAX活动回溯到源代码 215
10.4 截获和修改AJAX请求 216
10.5 截获和修改服务器响应 218
10.6 使用注入数据破坏AJAX 220
10.7 使用注入XML破坏AJAX 222
10.8 使用注入JSON破坏AJAX 223
10.9 破坏客户端状态 224
10.10 检查跨域访问 226
10.11 通过JSON劫持来读取私有数据 227
第11章 操纵会话 229
11.1 在Cookie中查找会话标识符 230
11.2 在请求中查找会话标识符 232
11.3 查找Authentication头 233
11.4 分析会话ID过期 235
11.5 使用Burp分析会话标识符 239
11.6 使用WebScarab分析会话随机性 240
11.7 更改会话以逃避限制 245
11.8 假扮其他用户 247
11.9 固定会话 248
11.10 测试跨站请求伪造 249
第12章 多层面的测试 251
12.1 使用XSS窃取Cookie 251
12.2 使用XSS创建覆盖 253
12.3 使用XSS产生HTTP请求 255
12.4 以交互方式尝试基于DOM的XSS 256
12.5 绕过字段长度限制(XSS) 258
12.6 以交互方式尝试跨站式跟踪 259
12.7 修改Host头 261
12.8 暴力猜测用户名和密码 263
12.9 以交互方式尝试PHP包含文件注入 265
12.10 制作解压缩炸弹 266
12.11 以交互方式尝试命令注入 268
12.12 系统地尝试命令注入 270
12.13 以交互方式尝试XPath注入 273
12.14 以交互方式尝试服务器端包含(SSI)注入 275
12.15 系统地尝试服务器端包含(SSI)注入 276
12.16 以交互方式尝试LDAP注入 278
12.17 以交互方式尝试日志注入 280
Ⅱ 在使用服务器端的会话管理时,通过什么方法标识会话
会话跟踪常用的方法:a) URL重写:URL(统一资源定位符)是Web上特定页面的地址,URL重写的技术就是在URL结尾添加一个附加数据以标识该会话,把会话ID通过URL的信息传递过去,以便在服务器端进行识别不同的用户 b) 隐藏表单域:将会话ID添加到HTML表单...
Ⅲ 简述cookies和session的区别
1、cookie 和session的区别是:cookie数据保存在客户端,session数据保存在服务器端。
2、两个都可以用来存私密的东西,同样也都有有效期的说法,区别在于session是放在服务器上的,过期与否取决于服务期的设定,cookie是存在客户端的,过去与否可以在cookie生成的时候设置进去。
(1)、cookie数据存放在客户的浏览器上,session数据放在服务器上 ;
(2)、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,如果主要考虑到安全应当使用session ;
(3)、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,如果主要考虑到减轻服务器性能方面,应当使用COOKIE ;
(4)、单个cookie在客户端的限制是3K,就是说一个站点在客户端存放的COOKIE不能3K;
(5)、所以将登陆信息等重要信息存放为SESSION;其他信息如果需要保留,可以放在COOKIE中。
3、cookie和session的共同之处在于:cookie和session都是用来跟踪浏览器用户身份的会话方式。
4、cookie 是一种发送到客户浏览器的文本串句柄,并保存在客户机硬盘上,可以用来在某个WEB站点会话间持久的保持数据。
Ⅳ 什么是会话ID和如何使用会话ID
什么是会话ID
会话ID是一种唯一标识当前访问服务器的客户的只读值。在经典的ASP环境下,会话ID是按照顺序方式被分配的,也就是说,会话ID 706616433之后跟着会话 ID 706616434等等。传统的ASP会话ID以加密的、非持久存在的cookie形式保存在客户机上。例如,会话ID 706616434就可能作为cookie ASPSESSIONIDGQQGQGCS=JHMBOBKCBINEHLPKJHOPABBE保存在客户机上。
ASP.NET下的会话ID有所变化。在使用 ASP.NET 时,会话ID是由URL合法ASCII字符组成的一个120位字符串。根据微软文档的说明,产生会话 ID 值采用了保证其唯一性的算法,从而避免出现两个客户试图采用同一ID时出现的会话冲突。另外,会话ID的随机性使得确定现有会话的ID变得非常困难从而带来了额外的安全性。同传统ASP一样,ASP.NET的会话ID通常也作为非持久保存的cookie存储在客户机上。这种cookie的格式同传统ASP相比稍有变化,例如,asp.net_sessionid=jhmbobkcbinehlpkjhopabbe。
除了维持状态的传统型的、非持久保存的cookie的方法之外,ASP.NET还支持一种不采用cookie的会话状态维持模式。在启用无cookie模式的情况下,ASP.NET在发送回客户机的URL中嵌入会话ID。这样就为使用不支持cookie或禁用cookie浏览器的客户提供了会话状态坚持。考虑到利用cookie跟踪客户信息的举动,我们有理由对无Cookie模式保持高度的关注。
如何使用会话ID
客户每发出一个请求,包含加密会话ID的cookie在存在的情况下即被发送给服务器。服务器随后确定cookie所关联的会话ID并恢复关联该客户的所有会话变量。如果cookie不存在就会生成一个新的会话ID,同时加密的会话ID cookie则被发送给客户机。这样就能让ASP跟踪访问网站的单个客户了。同时,以上机制还促使ASP建立服务器方会话变量同单一会话的关联关系。
Ⅳ jsp的Session 和Servlet的Session有什么区别
jsp的Session和Servlet的Session本质上是一致的,区别是:jsp中session是作为隐式对象存在的,可以直接使用;Servlet中的session需要手动提取后才能使用.
HttpSession是Java平台对session机制的实现规范,因为它仅仅是个接口,具体到每个web应用服务器的提供商,除了对规范支持之外,仍然会有一些规范里没有规定的细微差异。
1、session机制
http是无状态的协议,客户每次读取web页面时,服务器都打开新的会话,而且服务器也不会自动维护客户的上下文信息,session就是一种保存上下文信息的机制,它是针对每一个用户的,变量的值保存在服务器端,通过SessionID来区分不同的客户,session是以cookie或URL重写为基础的,默认使用cookie来实现,系统会创造一个名为JSESSIONID的输出返回给客户端Cookie保存。
2、jsp和Servlet的关系
jsp是servlet的一种简化,jsp是Servlet技术的扩展,本质上就是Servlet的简易方式。JSP编译后是“类servlet”。Servlet和JSP最主要的不同点在于,Servlet的应用逻辑是在Java文件中,并且完全从表示层中的HTML里分离开来。而JSP的情况是Java和HTML可以组合成一个扩展名为.jsp的文件。JSP侧重于视图,Servlet主要用于控制逻辑
Ⅵ java中会话在WEB的作用
session:会话。举个例子吧,编写一个论坛,就可以用session。用户登录之后,打开了多个页面,但是用户名是不变的,这就是session起的作用。关闭浏览器,session就销毁了。
Ⅶ session错误
我们可以使用 Session 对象存储特定的用户会话所需的信息。当用户在应用程序的页之间跳转时,存储在 Session 对象中的变量不会清除,而用户在应用程序中访问页面时,这些变量始终存在。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。 通过向客户程序发送唯一的 Cookie 可以管理服务器上的 Session 对象。当用户第一次请求 ASP 应用程序中的某个页面时,ASP 要检查 HTTP 头信息,查看是否有在报文中有名为 ASPSESSIONID 的 Cookie 发送过来,如果有,则服务器会启动新的会话,并为该会话生成一个全局唯一的值,在把这个值作为新 ASPSESSIONID Cookie 的值发送给客户端,正是使用这种 Cookie,可以访问存储在服务器上的属于客户程序的信息。Session 对象最常见的作用就是存储用户的首选项。例如,如果用户指明不喜欢查看图形,就可以将该信息存储在 Session 对象中。另外其还经常被用在鉴别客户身份的程序中。要注意的是,会话状态仅在支持 cookie 的浏览器中保留,如果客户关闭了 Cookie 选项,Session 也就不能发挥作用了。 一、属性 1、SessionID SessionID 属性返回用户的会话标识。在创建会话时,服务器会为每一个会话生成一个单独的标识。会话标识以长整形数据类型返回。在很多情况下 SessionID 可以用于 WEB 页面注册统计。 2、TimeOut Timeout 属性以分钟为单位为该应用程序的 Session 对象指定超时时限。如果用户在该超时时限之内不刷新或请求网页,则该会话将终止。 二、方法 Session 对象仅有一个方法,就是 Abandon,Abandon 方法删除所有存储在 Session 对象中的对象并释放这些对象的源。如果您未明确地调用 Abandon 方法,一旦会话超时,服务器将删除这些对象。当服务器处理完当前页时,下面示例将释放会话状态。 < % Session.Abandon %> 三、事件 Session 对象有两个事件可用于在 Session 对象启动和释放是运行过程。 1、Session_OnStart 事件在服务器创建新会话时发生。服务器在执行请求的页之前先处理该脚本。Session_OnStart 事件是设置会话期变量的最佳时机,因为在访问任何页之前都会先设置它们。 尽管在 Session_OnStart 事件包含 Redirect 或 End 方法调用的情况下 Session 对象仍会保持,然而服务器将停止处理 Global.asa 文件并触发 Session_OnStart 事件的文件中的脚本。 为了确保用户在打开某个特定的 Web 页时始终启动一个会话,就可以在 Session_OnStart 事件中调用 Redirect 方法。当用户进入应用程序时,服务器将为用户创建一个会话并处理 Session_OnStart 事件脚本。您可以将脚本包含在该事件中以便检查用户打开的页是不是启动页,如果不是,就指示用户调用 Response.Redirect 方法启动网页。程序如下 : < SCRIPT RUNAT=Server Language=VBScript> Sub Session_OnStart startPage = "/MyApp/StartHere.asp" currentPage = Request.ServerVariables("SCRIPT_NAME") if strcomp(currentPage,startPage,1) then Response.Redirect(startPage) end if End Sub < /SCRIPT> 上述程序只能在支持 cookie 的浏览器中运行。因为不支持 cookie 的浏览器不能返回 SessionID cookie,所以,每当用户请求 Web 页时,服务器都会创建一个新会话。这样,对于每个请求服务器都将处理 Session_OnStart 脚本并将用户重定向到启动页中。 2、Session_OnEnd 事件在会话被放弃或超时发生。 关于使用 Session 对象需要注意的事项 Application 对象相近,请参照前文。 会话可以通过以下三种方式启动 : 1、一个新用户请求访问一个 URL,该 URL 标识了某个应用程序中的 .asp 文件,并且该应用程序的 Global.asa 文件包含 Session_OnStart 过程。 2、用户在 Session 对象中存储了一个值。 3、用户请求了一个应用程序的 .asp 文件,并且该应用程序的Global.asa 文件使用 < OBJECT> 标签创建带有会话作用域的对象的实例。 如果用户在指定时间内没有请求或刷新应用程序中的任何页,会话将自动结束。这段时间的默认值是 20 分钟。可以通过在 Internet 服务管理器中设置“应用程序选项”属性页中的“会话超时”属性改变应用程序的默认超时限制设置。应依据您的 Web 应用程序的要求和服务器的内存空间来设置此值。例如,如果您希望浏览您的 Web 应用程序的用户在每一页仅停留几分钟,就应该缩短会话的默认超时值。过长的会话超时值将导致打开的会话过多而耗尽您的服务器的内存资源。对于一个特定的会话,如果您想设置一个小于默认超时值的超时值,可以设置 Session 对象的 Timeout 属性。例如,下面这段脚本将超时值设置为 5 分钟。 < % Session.Timeout = 5 %> 当然你也可以设置一个大于默认设置的超时值,Session.Timeout 属性决定超时值。你还可以通过 Session 对象的 Abandon 方法显式结束一个会话。例如,在表格中提供一个“退出”按钮,将按钮的 ACTION 参数设置为包含下列命令的 .asp 文件的 URL。 < % Session.Abandon %>
Ⅷ WEB应用中的SESSION知多少
目 录
一、Session
二、Cookies
三、Cookies机制
四、Session机制
五、Cookies机制与Session机制的区别和联系
六、常见问题
七、Session的用法
Session是WEB上有效的信息交互手段,因其使用方便、稳定、安全、可靠而被众多WEB开发者所认知。尤其在互联网身份验证、网上电子购物等方面的应用更为广泛。下面就着重来介绍下Session。
一、Session
Session,在汉语中表示通话、会话、对话(期)、话路[对谈时间]的意思,其本来的含义一个终端用户与交互系统进行通信的时间(间隔),通常是指从注册(进入系统)到注销(退出系统)之间所经过的时间。比如打电话时从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个Session。有时候我们可以看到这样的话“在一个浏览器会话期间,…”,这里的会话一词用的就是这个意思,是指从一个浏览器窗口打开到关闭这个期间。Session在我们的网络应用中就是一种客户端与服务器端保持状态的解决方案,有时候Session也用来指这种解决方案的存储结构,
Session对象,就是客户端浏览器与服务器之间建立的互动信息状态。每一个不同的用户连接将得到不同的Session,也就是说Session与用户之间是一种一对一的关系。Session在用户进入网站时由服务器自动产生,并在用户正常离开站点时释放。使用Session的好处就在于,可以将很多与用户相关的信息,例如用户的帐号、昵称等保存到Session中;利用Session,可以跟踪用户在网站上的活动。例如:当你上网进入一个网站时,如果你没有登陆,无论你访问哪几个页面都会跳转回登陆页。还有就是你在购物时,不可能把你的东西放到别人的购物车里去,这就得用一个信息变量来判断!
如果能够提供一些按需生成的动态信息会使web变得更加有用,就像给有线电视加上点播功能一样。这种需求一方面迫使HTML逐步添加了表单、脚本、DOM 等客户端行为,另一方面在服务器端则出现了CGI规范以响应客户端的动态请求,作为传输载体的HTTP协议也添加了文件上载、cookie这些特性。其中 cookie的作用就是为了解决HTTP协议无状态的缺陷所作出的努力。至于后来出现的Session机制则是又一种在客户端与服务器之间保持状态的解决方案。
二、Cookies
Cookie是WEB上最常用的跟踪用户会话方式,当 Cookie被禁止后,一般都用URL重写来跟踪会话。Cookie是一种由服务器发送给客户的片段信息,存储在客户环境中,并在客户所有的对服务器的请求中都要发回它。就好比我们在用IE登陆某个电子购物商城时,IE在得到商品列表页面的 同时还收到Set-Cookie应答头信息,我们打开一个Cookie文件,我们所看到的格式一般都是:
Cookie:NAME=VALUE;Comment=COMMENT;Domain=DOMAINNMAM;Max-age=SECONDS;Path=PATH;secure;Version=1*DIGIT
其中NAME值对(值对间用分号分隔)是必须的,其余都是可选的。最重要的信息当然也在所必须的值对里了,VALUE是NAME的值,也是这个 Cookie的标识,Max-age定义了Cookie的最长生存时间。当我们选购了某种商品,向服务器发送选购清单时,会自动在你的请求信息头里加上NAME值对,如果Cookie被禁止,则用 URL重写方式在URL请求地址上附加NAME值对。当Web服务器收到这个请求后,会检查该Cookie是否存在,然后相应的跟踪会话。从以上分析不难理解,其实Web服务器跟踪会话就靠Set-Cookie头信息,跟踪NAME值对进行身份验证。假如我们用非Web终端接收Web服务器的响应信息,从中解析出Cookie头信息,当再次向Web服务器发送请求时附加上解析出的Cookie信息,Web服务器据此不就可以进行身份认证了吗?
Cookies中文是饼干的意思,对于为何引用Cookies,从网上查找了一些资料:
在浏览器与WEB服务器之间是使用HTTP协议进行通信的,当某个用户发出页面请求时,WEB服务器只是简单的进行响应,然后就关闭与该用户的连接。因此当一个请求发送到WEB服务器时,无论其是否是第一次来访,服务器都会把它当作第一次来对待,这样的不好之处可想而知。为了弥补这个缺陷,Netscape开发出了cookie这个有效的工具来保存某个用户的识别信息,因此人们昵称为“小甜饼”。cookies是一种WEB服务器通过浏览器在访问者的硬盘上存储信息的手段:Netscape Navigator使用一个名为cookies.txt本地文件保存从所有站点接收的Cookie信息;而IE浏览器把Cookie信息保存在类似于 c:\Internet 临时文件\的目录下。当用户再次访问某个站点时,服务端将要求浏览器查找并返回先前发送的Cookie信息,来识别这个用户。Cookies给网站和用户带来的好处:
(1)、Cookie能使站点跟踪特定访问者的访问次数、最后访问时间和访问者进入站点的路径
(2)、Cookie能告诉在线广告商广告被点击的次数,从而可以更精确的投放广告
(3)、Cookie有效期限未到时,Cookie能使用户在不键入密码和用户名的情况下进入曾经浏览过的一些站点
(4)、Cookie能帮助站点统计用户个人资料以实现各种各样的个性化服务,其实,cookie的作用就是为了解决HTTP协议无状态的缺陷所作的努力.
三.Cookie机制
Cookie机制采用的是在客户端保持状态的方案。
Cookie机制,就是当服务器对访问它的用户生成了一个Session的同时服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie,保存在客户端,里面记录着用户当前的信息,当用户再次访问服务器时,浏览器检查所有存储的cookie,如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置也就是对应的Cookie文件。 若存在,则把该cookie附在请求资源的HTTP请求头上发送给服务器,例如:当我们登陆了一个网站,并且填写了有关资料,以本站会员的名义登陆上了有关网页,这时你把浏览器关闭,再重启进入该网站的某一个页面时是以你登陆过的会员进去的,当然,不是所有网站都是这样,我们知道,cookie的保存有临时性的和持久性的,大多都是临时性的,也就是cookie只保存在客户端的内存中,而没有保存在硬盘上,当关闭浏览器,cookie也就销毁。以下是有关 cookie机制的一些具体说明:
cookie的内容主要包括:名字,值,过期时间,路径和域。
其中域可以指定某一个域比如.,相当于总店招牌,比如宝洁公司,也可以指定一个域下的具体某台机器可以用飘柔来做比。
路径就是跟在域名后面的URL路径,比如/或者/foo等等,可以用某飘柔专柜做比。路径与域合在一起就构成了cookie的作用范围。
如果不设置过期时间,则表示这个cookie的生命期为浏览器会话期间,只要关闭浏览器窗口,cookie就消失了。这种生命期为浏览器会话期的 cookie被称为会话cookie。会话cookie一般不存储在硬盘上而是保存在内存里,当然这种行为并不是规范规定的。如果设置了过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie仍然有效直到超过设定的过期时间。
存储在硬盘上的cookie可以在不同的浏览器进程间共享,比如两个IE窗口。而对于保存在内存里的cookie,不同的浏览器有不同的处理方式。对于微软的IE浏览器,在一个打开的窗口上按Ctrl-N(或者从文件菜单)打开的窗口可以与原窗口共享,而使用其他方式新开的IE进程则不能共享已经打开的窗口的内存cookie;对于火狐狸firefox浏览器,所有的进程和标签页都可以共享同样的cookie。一般来说是用javascript的 window.open打开的窗口会与原窗口共享内存cookie。浏览器对于会话cookie的这种只认cookie不认人的处理方式经常给采用 Session机制的web应用程序开发者造成很大的困扰。
Ⅸ Servlet中如何理解会话
servlet中session的使用
还是由于HTTP协议连接的无状态性,才使得session的不得已而产生。既然Web应用并不了解有关同一用户以前请求的信息,那么解决这个问题的一个办法是使用Servlet/JSP容器提供的会话跟踪功能,Servlet API规范定义了一个简单的HttpSession接口,通过它我们可以方便地实现会话跟踪。
HttpSession接口提供了存储和返回标准会话属性的方法。标准会话属性如会话标识符、应用数据等,都以“名字-值”对的形式保存在服务器端。也就是说,HttpSession接口提供了一种把对象保存到内存、在同一用户的后继请求中提取这些对象的标准办法。在会话中保存数据的方法是setAttribute(String s, Object o),从会话提取原来所保存对象的方法是getAttribute(String s)。
在服务器端,每当新用户请求一个使用了HttpSession对象的JSP页面,Servlet/JSP容器除了发回应答页面之外,它还要以cookie的形式向浏览器发送一个特殊的数字。这个特殊的数字称为“会话标识符”,它是一个唯一的用户标识符。此后,HttpSession对象就驻留在内存之中(这当然是在服务器端),浏览器再请求session时,服务器会先得到它的sessionid,再作处理。
在客户端,浏览器保存会话标识符,并在每一个后继请求中把这个会话标识符发送给服务器。会话标识符告诉JSP容器当前请求不是用户发出的第一个请求,服务器以前已经为该用户创建了HttpSession对象。此时,JSP容器不再为用户创建新的HttpSession对象,而是寻找具有相同会话标识符的HttpSession对象,然后建立该HttpSession对象和当前请求的关联。
会话标识符以Cookie的形式在服务器和浏览器之间传送,标准会话属性在服务器端也是以会话的形式存在的,并且这个Cookie的生命周期只是临时的,即会话结束后就自动消失,没有为它指定固定的生命周期,因此有人说session是基于Cookie的技术。另外,如果客户端不支持Cookie,运用url重写机制来保证会话标识符传回服务器。
还有一点,session不像Cookie那样拥有路径访问的问题。session对应的是窗口,只要是同一个客户端或者是存在父子关系的多个客户端,同一个application下的servlet/JSP可以共享同一个session。当然,session和窗口的对应关系也是受时间限制的,至于多长时间,可以在服务器的conf/web.xml中配置<session-config><session- timeout>30</session-timeout></session-config>
Ⅹ 如何配置http服务标识,使其不泄露web服务器以及操作系统的版本
网站服务器运行段间down掉原能造种现象:比tomcat堆非堆内存设置足程序没能释放内存空间造内存溢或者某些进程直运行没能释放造cup资源量消耗除程序本身原能客服端访问造(客户端包含蜘蛛软件等搜索引擎)服务器客户端建立链接(用netstat -a命令查看网络访问信息)需要http响应connection做定设置
http1.1requestreponse header都能现connection字段header含义clientserver通信于链接何进行处理http1.1clientserver都默认支持链接 client使用http1.1协议希望使用链接则需要header指明connection值close;server想支持链接则response需要明确说明connection值close
论requestresponseheader包含值closeconnection都表明前使用tcp链接请求处理完毕断掉client再进行新请求必须创建新tcp链接
HTTP Connectionclose设置允许客户端或服务器任何关闭底层连接双都要求处理请求关闭TCP连接
何程序设置:滤器加入:response.setHeader(connection, close);
内容自: HTTP Keep-Alive详解
HTTP Keep Alive
HTTP Keep-Alive 程序误解面介绍HTTP/1.0HTTP/1.1版本何工作及其JAVA运行原理
HTTP请求响应模式典型范例即客户端向服务器发送请求信息服务器响应信息HTTP版本每请求都创建新客户端->服务器连接连接发送请求接收请求模式优点简单容易理解编程实现;缺点效率低Keep-Alive提用解决效率低问题
HTTP/1.0
HTTP/1.0版本并没官标准规定Keep-Alive何工作实际附加HTTP/1.0协议客户端浏览器支持Keep-AliveHTTP请求添加字段 Connection: Keep-Alive服务器收附带Connection: Keep-Alive请求响应添加同字段使用Keep-Alive客户端服务器间HTTP连接保持断(超Keep-Alive规定间意外断电等情况除外)客户端发送另外请求使用条已经建立连接
HTTP/1.1
HTTP/1.1版本官规定Keep-Alive使用标准HTTP/1.0版本些同默认情况所HTTP1.1所连接都保持除非请求或响应指明要关闭:Connection: Close Connection: Keep-Alive字段再没意义原另外添加新字段Keep-Alive:字段并没详细描述用做忽略
Not reliable(靠)
HTTP状态协议意味着每请求都独立Keep-Alive没能改变结另外Keep-Alive能保证客户端服务器间连接定跃HTTP1.1版本唯能保证连接关闭能通知所应该让程序依赖于Keep-Alive保持连接特性否则意想
Keep-AlivePOST
HTTP1.1细则规定POST消息体面能任何字符指于某特定浏览器能并遵循标准(比POST消息体面放置CRLF符)据我所知部浏览器POST消息体都自跟CRLF符再发送何解决问题呢根据面说明POST请求禁止使用Keep-Alive或者由服务器自忽略CRLF部服务器都自忽略未经测试前能知道服务器否做
内容自:
HTTP状态协议Connection:Keep-Alive容易犯误区
名词解释:
HTTP状态:状态指协议于事务处理没记忆能力服务器知道客户端状态另面讲打服务器网页前打服务器网页间没任何联系
要实现购物车需要借助于Cookie或Session或服务器端API(NSAPI and ISAPI)记录些信息请求服务器结算页面同些信息提交服务器
登录网站登录状态由Cookie或Session记忆服务器并知道否登录
优点:服务器用每客户端连接配内存记忆量状态用客户端失连接清理内存更高效处理WEB业务
缺点:客户端每请求都需要携带相应参数服务器需要处理些参数
Keep-Alive:参考另外篇文章HTTP Keep-Alive 详解
容易犯误区:
1、HTTP状态面向连接协议状态代表HTTP能保持TCP连接更能代表HTTP使用UDP协议(连接)
2、HTTP/1.1起默认都启Keep-Alive保持连接特性简单说网页打完客户端服务器间用于传输HTTP数据TCP连接关闭客户端再访问服务器网页继续使用条已经建立连接
3、Keep-Alive永久保持连接保持间同服务器软件(Apache)设定间
内容自:
Keep-Alive简介及Tomcat配置
Keep-Alive功能使客户端服务器端连接持续效现服务器继请求Keep-Alive功能避免建立或者重新建立连接市场 部Web服务器包括iPlanet、IISApache都支持HTTP Keep-Alive于提供静态内容网站说功能通用于负担较重网站说存另外问题:虽客户保留打连 接定处同影响性能处理暂停期间本释放资源仍旧占用Web服务器应用服务器同台机器运行Keep-Alive功能资源利用影响尤其突 功能HTTP 1.1预设功能HTTP 1.0加Keep-Alive header提供HTTP持续作用功能
Keep-Alive: timeout=5, max=100
timeout:期间5秒(应httpd.conf参数:KeepAliveTimeout)max百请求强制断掉连接
timeout间内新连接同max自减1直0强制断掉
Tomcat相关设置,server.xml Connector 元素
keepAliveTimeout:
间连接close单位milliseconds
maxKeepAliveRequests:
连接数(1表示禁用-1表示限制数默认100般设置100~200间).
maxKeepAliveRequests=1″避免tomcat产量TIME_WAIT连接定程度避免tomcat假死
<Connector executor=tomcatThreadPool
port=80″ protocol=HTTP/1.1″
connectionTimeout=60000″
keepAliveTimeout=15000″
maxKeepAliveRequests=1″
redirectPort=443″
maxHttpHeaderSize=8192″ URIEncoding=UTF-8″ enableLookups=false acceptCount=100″ disableUploadTimeout=true/>?网站服务器运行段间down掉原能造种现象:比tomcat堆非堆内存设置足程序没能释放内存空间造内存溢或者某些进程直运行没能释放造cup资源量消耗除程序本身原能客服端访问造(客户端包含蜘蛛软件等搜索引擎)服务器客户端建立链接(用netstat -a命令查看网络访问信息)需要http响应connection做定设置
http1.1requestreponse header都能现connection字段header含义clientserver通信于链接何进行处理http1.1clientserver都默认支持链接 client使用http1.1协议希望使用链接则需要header指明connection值close;server想支持链接则response需要明确说明connection值close
论requestresponseheader包含值closeconnection都表明前使用tcp链接请求处理完毕断掉client再进行新请求必须创建新tcp链接
HTTP Connectionclose设置允许客户端或服务器任何关闭底层连接双都要求处理请求关闭TCP连接
何程序设置:滤器加入:response.setHeader(connection, close);
内容自: HTTP Keep-Alive详解
HTTP Keep Alive
HTTP Keep-Alive 程序误解面介绍HTTP/1.0HTTP/1.1版本何工作及其JAVA运行原理
HTTP请求响应模式典型范例即客户端向服务器发送请求信息服务器响应信息HTTP版本每请求都创建新客户端->服务器连接连接发送请求接收请求模式优点简单容易理解编程实现;缺点效率低Keep-Alive提用解决效率低问题
HTTP/1.0
HTTP/1.0版本并没官标准规定Keep-Alive何工作实际附加HTTP/1.0协议客户端浏览器支持Keep-AliveHTTP请求添加字段 Connection: Keep-Alive服务器收附带Connection: Keep-Alive请求响应添加同字段使用Keep-Alive客户端服务器间HTTP连接保持断(超Keep-Alive规定间意外断电等情况除外)客户端发送另外请求使用条已经建立连接
HTTP/1.1
HTTP/1.1版本官规定Keep-Alive使用标准HTTP/1.0版本些同默认情况所HTTP1.1所连接都保持除非请求或响应指明要关闭:Connection: Close Connection: Keep-Alive字段再没意义原另外添加新字段Keep-Alive:字段并没详细描述用做忽略
Not reliable(靠)
HTTP状态协议意味着每请求都独立Keep-Alive没能改变结另外Keep-Alive能保证客户端服务器间连接定跃HTTP1.1版本唯能保证连接关闭能通知所应该让程序依赖于Keep-Alive保持连接特性否则意想
Keep-AlivePOST
HTTP1.1细则规定POST消息体面能任何字符指于某特定浏览器能并遵循标准(比POST消息体面放置CRLF符)据我所知部浏览器POST消息体都自跟CRLF符再发送何解决问题呢根据面说明POST请求禁止使用Keep-Alive或者由服务器自忽略CRLF部服务器都自忽略未经测试前能知道服务器否做
内容自:
HTTP状态协议Connection:Keep-Alive容易犯误区
名词解释:
HTTP状态:状态指协议于事务处理没记忆能力服务器知道客户端状态另面讲打服务器网页前打服务器网页间没任何联系
要实现购物车需要借助于Cookie或Session或服务器端API(NSAPI and ISAPI)记录些信息请求服务器结算页面同些信息提交服务器
登录网站登录状态由Cookie或Session记忆服务器并知道否登录
优点:服务器用每客户端连接配内存记忆量状态用客户端失连接清理内存更高效处理WEB业务
缺点:客户端每请求都需要携带相应参数服务器需要处理些参数
Keep-Alive:参考另外篇文章HTTP Keep-Alive 详解
容易犯误区:
1、HTTP状态面向连接协议状态代表HTTP能保持TCP连接更能代表HTTP使用UDP协议(连接)
2、HTTP/1.1起默认都启Keep-Alive保持连接特性简单说网页打完客户端服务器间用于传输HTTP数据TCP连接关闭客户端再访问服务器网页继续使用条已经建立连接
3、Keep-Alive永久保持连接保持间同服务器软件(Apache)设定间
内容自:
Keep-Alive简介及Tomcat配置
Keep-Alive功能使客户端服务器端连接持续效现服务器继请求Keep-Alive功能避免建立或者重新建立连接市场 部Web服务器包括iPlanet、IISApache都支持HTTP Keep-Alive于提供静态内容网站说功能通用于负担较重网站说存另外问题:虽客户保留打连 接定处同影响性能处理暂停期间本释放资源仍旧占用Web服务器应用服务器同台机器运行Keep-Alive功能资源利用影响尤其突 功能HTTP 1.1预设功能HTTP 1.0加Keep-Alive header提供HTTP持续作用功能
Keep-Alive: timeout=5, max=100
timeout:期间5秒(应httpd.conf参数:KeepAliveTimeout)max百请求强制断掉连接
timeout间内新连接同max自减1直0强制断掉
Tomcat相关设置,server.xml Connector 元素
keepAliveTimeout:
间连接close单位milliseconds
maxKeepAliveRequests:
连接数(1表示禁用-1表示限制数默认100般设置100~200间).
maxKeepAliveRequests=1″避免tomcat产量TIME_WAIT连接定程度避免tomcat假死
<Connector executor=tomcatThreadPool
port=80″ protocol=HTTP/1.1″
connectionTimeout=60000″
keepAliveTimeout=15000″
maxKeepAliveRequests=1″
redirectPort=443″
maxHttpHeaderSize=8192″ URIEncoding=UTF-8″ enableLookups=false acceptCount=100″ disableUploadTimeout=true/>