39,087
社区成员
发帖
与我相关
我的任务
分享关于cookie和session的疑问
最近我研究了一下http相关的无状态的问题,有一点一直没搞明白。 登录的时候,服务端生成session,并把session相关的信息存一份cookie返回保存在浏览器,之后浏览器带着这个cookie来身份认证。
我有一点很困惑,我在cookie销毁之前拷贝到本地,然后拿着已经销毁掉的cookie,再去请求服务端,服务端的解密还是那套流程,不是也可以通过认证吗,那销毁cookie的意义是什么呢。。
我有一点很困惑,我在cookie销毁之前拷贝到本地,然后拿着已经销毁掉的cookie,再去请求服务端,服务端的解密还是那套流程,不是也可以通过认证吗,那销毁cookie的意义是什么呢。。
...全文
请发表友善的回复…
发表回复
風灬雲 2019-01-22
- 打赏
- 举报
比如有个人在网吧上淘宝没关机,cookie被黑客拿了,https这时候也没办法了,还是服务端得提高安全性吧?[/quote]
没关机,别人直接操作了,还用你的cookie这么麻烦,服务器最多也就只能做到session里面存储ip,请求时校验访问ip和cookie的ip是否一致,这样可以让cookie只能在规定时间内的同一个IP有效;
feixiang1209 2019-01-19
- 打赏
- 举报
比如有个人在网吧上淘宝没关机,cookie被黑客拿了,https这时候也没办法了,还是服务端得提高安全性吧?
hookee 2019-01-11
- 打赏
- 举报
可以查一下 CSRF攻击的资料
trainee 2019-01-09
- 打赏
- 举报
是的
但正规的浏览器, 请求网页时所发送的cookie是不能自定义的,不正规和黑客除外。
他们有可能截获这个含有sid的cookie, 在别处杜撰一个合法的请求.
所以http是不安全的, 要用https
除此外, 服务端要有一些机制来提高安全, 比如 sid的时间限制, 判断请求的ip地址是否变更等等.
但正规的浏览器, 请求网页时所发送的cookie是不能自定义的,不正规和黑客除外。
他们有可能截获这个含有sid的cookie, 在别处杜撰一个合法的请求.
所以http是不安全的, 要用https
除此外, 服务端要有一些机制来提高安全, 比如 sid的时间限制, 判断请求的ip地址是否变更等等.
