为什么说session相对cookie安全呢

whiblack 2018-10-10 07:56:40
session虽然存在服务器上,但是session id不是还在客户端吗。伪造只需要伪造session id就好,无需处理服务器的session。这样是怎么比cookie安全的?
...全文
922 6 打赏 收藏 转发到动态 举报
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
outby 2019-08-08
  • 打赏
  • 举报
回复
引用 5 楼 艾宾浩斯的美酒 的回复:
引用 4 楼 outby 的回复:
问:我现在在我电脑上登录,你现在可知道我的SESSIONID?
黑客都入侵你电脑了,还不知道你seessionid?
如果黑客都已经入侵我的电脑了,他还要SESSIONID做什么?我电脑里面的资料、珍藏的AV比SESSIONID重要吧。
  • 打赏
  • 举报
回复
引用 4 楼 outby 的回复:
问:我现在在我电脑上登录,你现在可知道我的SESSIONID?
黑客都入侵你电脑了,还不知道你seessionid?
outby 2018-10-11
  • 打赏
  • 举报
回复
问:我现在在我电脑上登录,你现在可知道我的SESSIONID?
hookee 2018-10-11
  • 打赏
  • 举报
回复 3
sessionid一样是cookie, 如果cookie不安全,那么sessionid一样不安全。 无非是用session只是暴露一个sessionid,不用把更多的数据在网络上传递,代价是占用服务器资源。 安全性要考虑很多方面,不仅仅是cookie本身,用cookie的话,一般会加密。
xuzuning 2018-10-11
  • 打赏
  • 举报
回复 3
相对安全是指 除 session id 以外的数据不需要在网络中传输
1、由于数据量少,不易被拦截
2、即使被拦截了,由于是无序串,也不易处理

session id 的生存于两次 http 会话之间(session 提供有每次更换 session id 的功能,虽然大多人没那么做)
只能拦截,不能伪造
能伪造 session id 就能伪造 cookie 的其他内容
winzond 2018-10-10
  • 打赏
  • 举报
回复
我也是初学者,不过有人说,你伪造一个试试,包你访问不了。不是技术非常高超的人,一般是破解不了的。而cookie如果不保存密码的话,也不涉及安全问题嘛

28,390

社区成员

发帖
与我相关
我的任务
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
  • ASP
  • 无·法
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧