Tag: cookie

Rails会议目前的做法

任何人有任何Rails和会议的“最佳做法”提示？ Rails 3的默认会话types仍然是CookieStore，对不对？ 我用了一段时间的SqlSessionStore，它运行良好，但我可能会离开，赞成CookieStore。 使用CookieStore进行敏感信息，即使是腌制信息，还是更好地存储在数据库中，是不是一个好主意？

file_get_contents接收cookie

在执行file_get_contents请求时，是否可以接收远程服务器设置的cookie？ 我需要PHP做一个HTTP请求，存储的Cookie，然后使用存储的cookie进行第二个http请求。

使用PHP和CurlloginGoogle，Cookieclosures了吗？

我有这个代码用于使用Simple DOM Parser和curllogin到Google。 我已经尝试在cookiejar文件中添加，但无济于事。 我不断收到消息： 您的浏览器的cookiefunction被closures。 请打开它。 任何想法如何解决这个问题？ 这里是我的代码供参考： $html = file_get_html('https://accounts.google.com/ServiceLogin?hl=en&service=alerts&continue=http://www.google.com/alerts/manage'); //… some code for getting post data here $curl_connection = curl_init('https://accounts.google.com/ServiceLoginAuth'); curl_setopt($curl_connection, CURLOPT_CONNECTTIMEOUT, 30); curl_setopt($curl_connection, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"); curl_setopt($curl_connection, CURLOPT_RETURNTRANSFER, true); curl_setopt($curl_connection, CURLOPT_SSL_VERIFYPEER, false); curl_setopt($curl_connection, CURLOPT_FOLLOWLOCATION, 1); curl_setopt($curl_connection, CURLOPT_COOKIEJAR, COOKIEJAR); curl_setopt($curl_connection, CURLOPT_COOKIEFILE, COOKIEJAR); curl_setopt($curl_connection, CURLOPT_HEADER, true); curl_setopt($curl_connection, CURLOPT_RETURNTRANSFER,1); […]

在Safari中设置跨域Cookie

Evernote的小书签能够做到这一点，因此即使赏金会以非生产性的方式进行，最高的答案也不会回答这个问题。 我必须从B.com域调用域名A.com（它用cookie设置cookie）。 我所做的域名B.com是（JavaScript）： var head = document.getElementsByTagName("head")[0]; var script = document.createElement("script"); script.src = "A.com/setCookie?cache=1231213123"; head.appendChild(script); 这会在我testing的每个浏览器上设置A.com上的Cookie，但Safari除外。 令人惊讶的是，即使没有P3P头文件，也可以在IE6中使用。 有没有什么办法可以使这个工作在Safari？

设置一个cookie永不过期

看看有关设置cookie的php文档，我发现我可以设置cookie的到期date。 您可以将cookie设置为在浏览器会话结束时或将来的某个时间过期，但我没有看到将cookie设置为永不过期的方法。 这甚至是可能的，这是如何完成的？

如何删除我的网站的所有cookie在php中

我想知道当用户点击注销时是否可以删除我所有网站的cookies，因为我用这个function来删除cookies，但是它不能正常工作： setcookie("user",false); 有没有办法在PHP中删除一个域的cookie？

为什么将CSRF预防标记放在Cookie中很常见？

我试图用CSRF理解整个问题并采取适当的方式来预防它。 （资源我已经阅读，理解，并同意： OWASP CSRF预防CHGat表 ， 有关CSRF的问题 。） 据我所知，围绕CSRF的漏洞是通过假设（从web服务器的angular度来看）传入的HTTP请求中的有效会话cookie反映了经过身份validation的用户的愿望而引入的。 但是，所有来源域的cookie都被魔术般的附加到了浏览器的请求中，所以真正的所有服务器都可以通过在请求中存在有效的会话cookie来推断出请求来自具有经过validation的会话的浏览器; 它不能进一步假设在浏览器中运行的代码 ，或者它是否真的反映了用户的意愿。 防止这种情况的方法是在请求中包含额外的身份validation信息（“CSRF令牌”），通过除浏览器自动cookie处理以外的其他方式进行。 松散地说，会话cookieauthentication用户/浏览器，并且CSRF令牌authentication在浏览器中运行的代码。 因此，简而言之，如果您使用会话Cookie对Web应用程序的用户进行身份validation，则还应该为每个响应添加一个CSRF令牌，并在每个（变异）请求中要求匹配的CSRF令牌。 然后，CSRF令牌从服务器到浏览器返回到服务器，向服务器certificate发出请求的页面已被该服务器（由该服务器生成）批准。 关于我的问题，这是关于在该往返中用于该CSRF令牌的具体传输方法。 看起来很常见（例如，在AngularJS ， Django ， Rails中 ）将CSRF令牌从服务器发送到客户端作为cookie（即在Set-Cookie头部中），然后在客户端中使用Javascript将其从Cookie中除去并附加作为单独的XSRF-TOKEN标题发送回服务器。 （另一种方法是Express推荐的方法，其中由服务器生成的CSRF令牌通过服务器端模板扩展包含在响应主体中，直接附加到将提供给服务器的代码/标记，例如作为一个隐藏的表单input，这个例子是一个更为web 1.0的处事方式，但是会把它推广到一个更重的JS客户端。 为什么使用Set-Cookie作为CSRF令牌的下游传输很常见/为什么这是一个好主意？ 我想所有这些框架的作者仔细考虑了他们的select，并没有得到这个错误。 但乍一看，使用cookie来解决cookies本质上是一个devise限制似乎愚蠢。 事实上，如果您使用cookie作为往返传输（服务器的Set-Cookie：header下游告知浏览器CSRF令牌，而浏览器将Cookie：header上传到服务器），则您将重新引入此漏洞正在尝试修复。 我意识到上面的框架不使用cookie来实现CSRF令牌的整个往返过程; 他们使用下游的Set-Cookie，然后是上游的其他东西（例如X-CSRF-Token标头），这确实closures了漏洞。 但是即使使用Set-Cookie作为下游传输也是有误导性和危险的。 浏览器现在将CSRF令牌附加到每个请求，包括真正的恶意XSRF请求; 充其量只能使得请求比需要的更大，而最坏的情况是一些好的但错误的服务器代码实际上可能会尝试使用它，这将是非常糟糕的。 而且，由于CSRF令牌的实际目标收件人是客户端JavaScript，这意味着此cookie不能用http-only保护。 因此，在Set-Cookie头文件中向下游发送CSRF令牌对我来说似乎并不理想。

如何使用Curl和SSL和cookielogin

我一直在试图用curllogin到barnesandnoble.com手机网站，迄今为止还没有运气。 我没有任何错误地返回页面，并且将我的电子邮件默认再次login到login页面的电子邮件input表单框（从print $ result返回的表单中）。 相同的代码实际上可以让我正确地进入易趣通过更改LOGINURL指向易趣的login 唯一的区别是，barnesandnobles是https：//和ebaylogin是http：// 另外，我相信barnes网站是asp / aspx，所以我不知道如何处理cookie和_state的不同 任何帮助将不胜感激，因为我一直在试图debugging过去16小时 另外，我的cookie.txt是可写和工作的 <?php $cookie_file_path = "C:/test/cookie.txt"; $LOGINURL = "https://cart2.barnesandnoble.com/mobileacct/op.asp?stage=signIn"; $agent = "Nokia-Communicator-WWW-Browser/2.0 (Geos 3.0 Nokia-9000i)"; $ch = curl_init(); $headers[] = "Accept: */*"; $headers[] = "Connection: Keep-Alive"; $headers[] = "Content-type: application/x-www-form-urlencoded;charset=UTF-8"; curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); curl_setopt($ch, CURLOPT_URL, $LOGINURL); curl_setopt($ch, […]

检测浏览器是否使用“隐私浏览”模式

我正在build立一个公司关于安全的偏执狂的外联网。 他们希望确保（其中包括）用户浏览网站时，浏览器在浏览器中启用了“浏览私人浏览”模式，这样就不会保留cookie或历史logging。 我发现只有这个http://jeremiahgrossman.blogspot.com/2009/03/detecting-private-browsing-mode.html和https://serverfault.com/questions/18966/force-safari-to-operate-in-私人模式和检测，该状态-从-A-Web服务器 理想的解决scheme将使用没有或最小的JavaScript。 会尝试为所有浏览器和平台设置独特的Cookie工作吗？ 任何人之前做过？ 谢谢！ 更新 http://crypto.stanford.edu/~collinj/research/incognito/使用其他海报提到的浏览器指纹机的CSS访问技术 – 感谢提示。 我喜欢它，因为它是小而优雅的，但仍然希望能够做到没有JavaScript，如果可能的话。

如何在jQuery Cookie中存储数组？

我需要将数组存储在一个jQuery cookie中，任何一个请帮助我？