ugtoken现在什么价格 ugchain币最新资讯

假设我拿到了别的用户的淘宝网站的cookie，我放到自己的http请求里，我就可以冒充这个用户吗？

仅仅cookie是不行，一般都有设备验证，所以也要带上设备IMEI uuid之类。同时还有人机校验，比如我1分钟提交60次订单，系统就有可能让你 进行人机认证，让你滑动拼图之类。一般来说客户端都是token之类，这类是有有效期的，你之所以感受不到要重新获取token，是因为在token的有效期快过前你使用了客服端，服务端发现设备没有异常就给你生了新的 替换了旧的。这个过程用户是无感知的。所以仅仅cookie是不够的，仅仅token也是不够的。要充分考虑各种机制，一一破解。

session值是不会放在cookie里的吧，否则session就和cookie变成一个东西了，确实，cookie是存在客户端的，不太安全，所以我们需要引入session，但从根本来说，用cookie却实会引发安全问题，只有单纯使用session，才能避免安全问题，但这需要每次用户登陆手动输入用户名密码，这样用户体验很不好

理论上是可行的，但实际上大多数网站在开发过程中就做了相关的限制，在请求服务端网络接口的时候，会加入各种校验信息，从而使得你在别处获得的cookie无法在其他客户端使用。

而且实际上也有一些网站是可以的，特别是一些安全措施不那么好的中小网站；就如前面回答的那位老哥提到的他开发了一款QQcookie的插件，就是利用QQ相关的设计缺陷。比如QQ空间就有类似的缺陷，而且这个缺陷似乎一直都存在；也就是获取了某个用户QQ空间的cookie可以来发相关内容。有的朋友QQ空间经常出现一些乱七八糟的信息，其实不一定是他的帐号密码被盗了，还有可能是他的cookie信息被别人恶意非法获取了。

但不管怎样，这种做法肯定是不行的。这个做法是非常敏感的，因为涉及到用户信息相关的数据，这是有严重后果。

如果能拿到别人的cookie是可以冒充别人的。首先要清楚，cookie存储于客户端，session存储于服务器端，而http请求是无状态的。因此服务器要识别某人通常都是用session完成，而session是依赖于cookie的。浏览器在每次发送请求时，会带上cookie 而cookie会自动带上session id，这样服务器就知道这个请求是基于那个session的，也就知道了是谁。

然而有些特殊情况，比如客户端禁用了cookie，如果要保持用户登录的状态可以在发送请求时，在请求的参数里带上session id，服务器也是可以知道用户是谁，但现在讨论的是有cookie的情况，顺带说一下这个问题。

所以在cookie冒充这个问题上服务器的防范措施比较有限，比如当用户重新登录，将之前的session作废，同一用户只能有一个session。保证用户账户同一时间只能有一个设备登录。另外，某些关键性的问题上用户要输入登录密码，或者使用手机验证码，以验证身份。比如修改密码，支付时。防范cookie冒充，更多还是需要用户多注意网络安全，比如安装防病毒软件，定时查杀病毒等等。

前面看到有的说验证IP，这个基本是行不通的，现在多数APP或浏览器因为用户体验问题都需要保证用户长时间登录，而网络的不稳定会导致设备时常断网，重新连接网络后IP就会改变。从而会导致用户需要重新登录（这句是后加的）。所以验证IP是行不通的。

还有就是有人说cookie带tooken也是行不通的，都能拿到你的cookie，凭什么就拿不到你的token？