关于session的问题

来源：7-8 从 session 到 redis

苏慷思

2019-09-24

图片描述
请问一下，如果传过来的cookie没有任何带有httponly标识的userid，那么当在客户端进行伪造userid时，会不会传递没有带有httponly标识的userid

写回答

1回答

双越

2019-09-24

客户端操作不了 httpOnly ，只有服务端可以。

另外，对于你截图中“怎么可能会没有”的疑问 —— 如果登陆之后，server 端重启了，那么 session 数据也就丢失了。

双越

慕莱坞0998854

那是后端处理时自己覆盖了，后端的逻辑。但无论怎么说，前端是改不了 httpOnly 的 cookie 的值的。

2020-12-11

共3条回复

Node.js+Express+Koa2+Nest.js 开发服务端

从入门到实战，一站式掌握 Node.js+Express+Koa2

4051 学习 · 2006 问题

相似问题

回答 1

回答 1

回答 1

回答 2

回答 1