怎么获取cookie，手机怎么获取cookie

拿到别人的淘宝用户登录cookie能不能冒充别人

拿到别人的淘宝用户登录cookie能不能冒充别人？在上看到有人问：“假设我拿到了别的用户的淘宝网站的cookie，我放到自己的http请求里，我就可以冒充这个用户吗？”，于是我做了测试，用自己的号先在google浏览器上登录自己的淘宝帐号，然后取得自己淘宝号登录cookie数据，把它复制到一个可以模拟https请求的软件，请求的地址是淘宝用户的“已买到的宝贝”页面，结果是能成功地获取到我的号购买过的商品数据，然后我通过重启路由的方式，将自己电脑的IP地址换成了另一个IP地址，再次用模拟软件发起请求，结果依旧成功获取到已购买过的商品数据。我并有用cookie模拟发起商品购买这些请求，所以不能不知道它的结果如何，但是市面上早就有通过软件来抢购商品的软件，这类型的软件就是通过获取到帐号的cookie，然后POST的方式达到抢购商品。

记得前几年QQ空间出现很多人自己并没有发“广告”，但是看自己的说说里确实发了某条“广告”，当时很多人不懂技术的人，都说是自己手机或者电脑中毒了发的，其实并不是那样子的，当时是因为腾讯出现了一个漏洞，只要用户的电脑浏览器或者手机上登录了QQ，用户的电脑或者手机登录指定的某网站时，这个网站就会通过腾讯的那个漏洞获取到QQ用户的cookie，然后黑客再通过用户的cookie在其他电脑上实现冒充用户发“广告”，当时我记得那个漏洞是腾讯地图上的漏洞，甚至有一些更牛的团队直接利用QQ用户的cookie，能实现把用户拉进QQ群，当时那个团队就专门出现QQ群，2000块一个QQ群，出现给做淘宝客的。不过QQ用户的cookie是有过期时间的，过期后就不可以再用了的。

所以我们回到“拿到淘宝用户的cookie，能不能冒充他人”的问题上来，理论上是可以的，但是有些功能它是需要二次验证，那就不行，像我做的这个小测试，只是获取用户买过的东西，就是可以实现冒充。所以大家尽可能的不要打开来路不明的网站，不要安装不明软件，在非自己的电脑上，尽可能的不要勾选什么“记住帐号”之类的选项，登录过的帐号记得要退出帐号。

其实楼主的意思我也明白

其实楼主的意思我也明白。就是别再cookie里头存什么有实际内容的参数。比如什么用户名啊，路径啊，用户有效天数啊这些。但是那些存个id，实际内容是通过id做索引，从服务器端获取的应该不在次内。只是这种说法太容易误人子弟。 17，8年前，我手下就有个技术，忘了因为具体什么事情了。发现自己的存的session死活获取不到。然后我检查了一下，发现是跨域的cookie获取不到。所以就拿不到session id从而拿不到session。跟他讨论了一下，结果这家伙强调自己用的是session不是cookie，所以跨域的cookie不会对他拿不到session值这个事情造成影响。跟他解释了一小时，这家伙死活不承认。非跟我逼逼说session，cookie是两码事儿。气得我只想吐血。回想现在的研发，动不动就弄什么框架，什么架构，底层的事情屁都不懂。问他们跟/obj//pipieh7nupabozups/toutiao_web_pc/auth_0.png)">互联网企业软件工程师

今天说一下，如何搭建一个可以保证高并发，高可用的，且安全性较高的架构。
一、前端层
1.不用cookie存储任何东西，原因如下： a.用户自己可以禁用cookie，一旦用户禁用了，就无法使用了。 b.一旦出现跨域的问题，处理起来非常麻烦。 c.安全性不高，csrf攻击，就是利用这一漏洞做的攻击。
2.解决xss攻击的问题。
二、传输层
1.从前端到nginx，采用https传输，保证数据安全，对于一些非常重要的交易，对关键字段做加密，并且做数据签名。
2.通过keepalived保证nginx的高可用，避免因为nginx服务宕机，导致整个服务不可用。
3.通过做验证码的方式，避免用户连续请求。
三、路由层
1.对于高并发的情况，通过nginx做限流，避免把全部请求都发送到后端服务器，给后端服务器带来压力。
2.通过nginx做集群，来保证后端服务器的高可用。
四、后端层
1.通过redis做分布式session的验证，此种验证方式，也可以解决crsf攻击的问题。需要redis做集群，来保证高可用。
2.当系统特别大的时候，单体服务难以支撑的时候，用springcloud做微服务，但是用微服务时，需要考虑如何合理的对项目做拆分，并做好降级和熔断，避免因为单个服务的问题，导致整个系统瘫痪。并且要考虑如何处理分布式事务的问题。
3.对于jdbc的封装，比较喜欢使用mybatisplus框架，既对简单sql做个封装，又支持复杂sql的编写。
4.在代码中编写sql语句时，采用预编译的方式，防止sql注入。
5.在并发量特别高的时候，比如抢购，或者说发送邮件、发送短信时，可以通过MQ做异步处理。为了保证MQ的高可用，需要做集群，并需要考虑到生产者断消息丢失，以及消费端重复消费的问题如何解决。
5.从java代码的角度上分析，比如：如何避免内存泄漏的发生、非线程安全类的合理使用，如何解耦合等等。
6.合理的设置JVM。
五、数据层
1.通过对mysql的读写分离，来保证mysql的高可用。
2.合理使用存储引擎，索引等等。
3.对于一些读取量大于写入量的数据，可以引入redis缓存，来提升读取效率，但是在使用redis缓存时，需要考虑如何保证mysql与redis数据一致性的问题。以及缓存击穿、缓存穿透、缓存雪崩的问题。为了保证redis的可用，需要对redis做集群。
4.对于数据量特别大的表，比如订单表，需采用分库分表，并引入ES+HBASE，来提升查询效率。
5.解决深度分页的问题。这只是我个人的一些经验，大家有什么不同的看法，欢迎评论区留言讨论