存档

文章标签 ‘Web’

cookies的编码与防火墙

2006年6月6日 没有评论

这个两者似乎并没有关系,但是事实上确实有联系还有很大的关联。下面描述的事情是发生在我身上的:

我的Blog和我在CSDN的Blog都是基于ASP.NET技术的Blog,我的是DasBlog,CSDN是.Text。他们的共同点就是都是使用UTF-8编码,这样Cookies也都以某种编码来存储。具体是什么编码,有待查阅一下RFC文档来考证一下。我们在回复某篇Post的时候,会有一个选项问你“是否保存回复信息”也就是你的nick和mail、site之类的信息,如果你选择了保存,则会在cookies里面做相应的记录。

带来麻烦的就是这个cookies。在我们的浏览器每次连接http服务器的时候,如果浏览器没有屏蔽cookies的话,你的在这个网站的cookies会自动地发送到服务器端,这样你保存在cookies里面的nick、email和site信息就会被自动填充的回复的那几字段当中。而http的连接是要通过防火墙的,加入你的防火墙不能识别你的cookies的编码的话,他将对你的http数据包内的数据误判。而且我们每个网页的会又多个request来完成,这样每个页面显示完全的话就需要多个连接或者并发多个连接。而防火墙在多次误判http数据包内的数据以后,就会判定这是一次攻击,而不是网络传输的错误。这样你的IP立刻就会被封掉。我的服务商给我的防火墙封ip的理由是 Http_cookies overflow攻击,引证我的判断。

我会把我的这个发现提供给服务商,请他们来调整防火墙。他们的防火墙使用的是BlackICE。很早就用过这个防火墙软件,当时就觉得这个防火墙很牛,可以做到很安全,但是作为服务商来使用的话,似乎防火墙规则太苛刻了。

分类: Web 标签: