Bài giảng An ninh mạng - Bài 9: An toàn dịch vụ web - Quản lý phiên. Sau khi học xong chương này, người học có thể hiểu được một số kiến thức cơ bản về: HTTP Cookie, chính sách SOP cho cookie, SOP cho cookie, Cookie của bên thứ 3 (third-party), đọc ghi cookie tại trình duyệt, | BÀI 8. AN TOÀN DỊCH VỤ WEB QUẢN LÝ PHIÊN Bùi Trọng Tùng Viện Công nghệ thông tin và Truyền thông Đại học Bách khoa Hà Nội 1 1. COOKIE Bùi Trọng Tùng Viện Công nghệ thông tin và Truyền thông Đại học Bách khoa Hà Nội 2 https tailieudientucntt 1 HTTP là giao thức stateless Một phiên hoạt động của HTTP Trình duyệt kết nối với Web server Trình duyệt gửi thông điệp yêu cầu HTTP Request Web server đáp ứng với một thông điệp HTTP Response lặp lại Trình duyệt ngắt kết nối Các thông điệp HTTP Request được xử lý độc lập Web server không ghi nhớ trạng thái của phiên HTTP 3 HTTP Cookie HTTP Request HTTP Response Cookie Cookie Cookie Trình duyệt Web server HTTP Request Cookie Cookie dữ liệu do Web server tạo ra chứa thông tin trạng thái của phiên làm việc Server có thể lưu lại cookie một phần hoặc toàn bộ Sau khi xử lý yêu cầu Web server trả lại thông điệp HTTP Response với coookie đính kèm Set-Cookie key value options Trình duyệt lưu cookie Trình duyệt gửi HTTP Request tiếp theo với cookie được đính kèm 4 https tailieudientucntt 2 HTTP Cookie - Ví dụ HTTP Response 5 HTTP Cookie - Ví dụ HTTP Request 6 https tailieudientucntt 3 HTTP Cookie HTTP Request Trình duyệt HTTP Response Web server Set-cookie NAME VALUE Cookie domain where to send scope path where to send secure only send over SSL expires when expires HttpOnly Cookie scope chỉ định các trang web sẽ gửi cookie tới HttpOnly không gửi cookie kèm theo HTTP Requets sinh ra bởi Javascript 7 Chính sách SOP cho cookie Địa chỉ URL scheme domain port path params Nguồn origin của cookie được xác định bởi domain path và scheme không bắt buộc Thiết lập cookie một trang web có thể thiết lập cookie cho các trang có cùng tên miền hoặc mang tên miền cấp trên trừ tên miền cấp 1 Ví dụ trang Web có domain là Thiết lập được cookie với domain Không thiết lập được với domain .com path bất kỳ giá