redis这里是不是存在着防护缺陷？

首页课程实战体系课手记专栏慕课教程

redis这里是不是存在着防护缺陷？

来源：7-14 session存入redis

Yukee_

2020-03-17

// app.js
if (!userId) {
        needSetCookie = true
        userId = Date.now() + "" + Math.random()
        // 初始化 redis 中的 session
        set(userId, {})
    }

如果有恶意攻击者，不断的清空cookie 访问登录
redis本身内存昂贵啊

1) "15843887546390_10075407287205151"
2) "15843882995370_075075548903482"
3) "15843896818760_7051955640554555"
4) "15843885474100_5436378163734819"
5) "15843896876650_5087135691224318"
...
1000000)?????
127.0.0.1:6379>

写回答

1回答

双越

2020-03-17

已采纳

这种情况就不是 redis 防护的问题了，而是整个 web server 的防护。

最基本的，就是对单个 IP 进行阻拦，防止频繁刷新请求，造成攻击。

而这种防护，不是我们做 server 开发的人能做到的，更多的是上游防火墙等硬件和专业软件，这是机房维护人员要做的事情。

0

1

Yukee_

感谢老师，嘿嘿

2020-03-17

共1条回复

Node.js+Express+Koa2+Nest.js 开发服务端

从入门到实战，一站式掌握 Node.js+Express+Koa2

4051 学习 · 2006 问题

相似问题

关于session与redis的联系

回答 1

6-12 session存入redis这节中，第二次访问/api/user/login-test后，req.session依旧是空对象？

回答 3

没太理解内存炸和多线程不能共享的问题

回答 2

连接池到底是谁在维护？

回答 1

zsh: command not found: redis

回答 1

打开慕课网App查看更多内容