WEB应用体系之Web传输协议中的客户端软件

3. 客户端软件

Web应用的客户端主要是各种浏览器，是Web应用的用户操作界面，与Web艮务端软件一样，客户端软件也会存在各种安全漏洞（软件自身漏洞、各种插件和组件漏洞）可被攻击者利用，从而实行对Web用户实施攻击，例如消耗用户系统资源、非法读取用户本地文件、 非法写入文件、在用户计算机上执行代码等操作。

在Web客户端缺陷中，基于Cookie技术的缺陷广受抨击。Cookie是为了辨别用户身份、 进行session跟踪而储存在用户本地终端上的数据，用于解决HTrrP协议无状态的应用问题， 是HTTP协议的补充。Web服务器利用Cookie中的信息来判断HTTP传输中的状态，包括注册用户是否已经登录网站，是否保留用户信息简化以后操作等。但是由于Cookie在实现上是存储在客户端计算机上的一小段文本信息，计算机用户可以随意查看存储在Cookie中的数据，

并且Cookie中的内容在发送到服务器之前能够被用户进行更改。因此，Cookie机制实际上严重影响到用户的隐私及安全，网站可以利用Cookie收集用户的访问记录，从而获得用户的包括身份、银行卡号等隐私数据。而通过伪造Cookie，可以欺骗网站以其他用户的身份进行操作。