请选择 进入手机版|继续访问电脑版
发新帖

新人想问个 cookie 和 session 的事

[复制链接]
5994 9

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
session 是存储在服务器所以比 cookie 安全,但是为什么不能通过获取存储在客户端的 session_id 然后像服务器发起请求呢?

举报 使用道具

回复

精彩评论9

disk  新手上路  发表于 2017-10-4 20:58:52 | 显示全部楼层
cookie 也是保存 session id 的一种方式。我想你可能有些地方没搞明白。。。

举报 使用道具

回复
sornets  新手上路  发表于 2017-10-4 22:22:14 | 显示全部楼层
能。

举报 使用道具

回复
lululau  新手上路  发表于 2017-10-4 22:54:06 | 显示全部楼层
1. session 数据不只可以存储在服务器端,也可以存储在客户端,比如 Rails 默认的 Session 存储方案就是存在一个加密的 Cookie 里的
2. 可以

举报 使用道具

回复
guoyang  新手上路  发表于 2017-10-5 03:23:40 | 显示全部楼层
由于 http 是无状态的,所以 session 的 ID 可以存在 cookie 中,也可以存在 LocalStorage 活着 SessionStorage,甚至是页面的隐藏字段。所谓的不安全分为两种,一是逻辑不安全,如果我们拿 cookie 中的数据直接作为我们逻辑的一部分,这部分数据是极容易被篡改的,所以我们通过 SessonId,拿服务端的数据作为逻辑的数据;二是 cookie 容易被 XSS / CSRF 攻击,虽然有同源策略的保护,现在较流行的方式是用 Token ( JWT )来取代 cookie 的设计。

举报 使用道具

回复
wentaoliu  新手上路  发表于 2017-10-6 16:15:28 | 显示全部楼层
@guoyang 如果浏览器中使用 jwt 仍然需要将 token 放到 cookie 或者 localstorage 中,还是可能会被 XSS 或 CSRF

举报 使用道具

回复
wwhc  新手上路  发表于 2017-10-7 04:26:52 | 显示全部楼层
只用 cookie 就够了, 有 cookie 还用 session 是多此一举

举报 使用道具

回复
guoyang  新手上路  发表于 2017-10-8 12:39:37 | 显示全部楼层
@wentaoliu 所以 token 的设计中可以加 ip 加 useragent 或者尽量能够标示出 client 端的东西,跨站攻击本来就是泄漏,这个只能从源头控制。防护可以分两种,一是防用户本身,Xss 或者中间人攻击防的是第三者,token 防用户自身能够做的很好。token 本身的出发点并不是解决所有的安全问题

举报 使用道具

回复
tuzhenyu  新手上路  发表于 2017-10-8 19:02:09 | 显示全部楼层
cookie 中的 sessionId 过期机制就是用来减弱 sessionId 被盗带来的影响

举报 使用道具

回复
opengps  新手上路  发表于 2017-10-8 19:59:06 | 显示全部楼层
cookie 中的 sessionId 默认是禁止读取的

举报 使用道具

回复
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表