sessionId 如果被别人知道了可以伪造登录么?
来源:7-7 session演示
小飞猪
2019-12-13
看到cookie 不安全那里想到,如果是把 sessionId 放到 cookie 里, 同样别人也会知道 sessionId 阿,如果他把本地cookie的sessionId 设置成和我一样,岂不是可以看到我的账户信息?
这里有点不太理解。
如果说两次会话的sessionId是不同的话,那这里的间隔又是多少呢?
写回答
2回答
-
双越
2019-12-14
你自己的 cookie ,被别人知道的情况有两种。
第一,网络劫持。http 协议是明文传播,cookie 的内容就会被知道。但是用 https 协议,加密内容,就解决了。
第二,被 xss 攻击,用 js 获取用户的 cookie 。但设置了 httpOnly 就能避免该问题。
所以,只要做好了足够的防备措施,就无需担心。
00 -
菜鸟x
2019-12-13
服务端已经在请求头设置httpOnly了。cookie只能在服务端中修改。
“如果说两次会话的sessionId是不同的话,那这里的间隔又是多少呢?”这句话是什么意思呢?
00
相似问题