本文探讨了session机制在Web应用中的安全性,对比cookie存储方式,session利用内存存储减少了客户端篡改的风险。此外,通过服务端对sessionID来源的有效监控,进一步提升了防御伪造攻击的能力。
======================================================
注:本文源代码点此下载
======================================================
回复 引用
#16楼 2009-01-07 16:40 zxdftt[未注册用户]
--引用--------------------------------------------------
jillzhang: @c+++
session针对cookie是安全的。
当然世界上没有绝对的安全
但session可以说是安全的,session的cookie不是保存在客户端磁盘中,而是保存在客户端浏览器的内存中,所以在客户端想获取这个比较难,如果而且按照session的设计,他可以完全避免有人伪造攻击,因为它在服务端可以侦测到来源计算机的一些特征信息,比如ip,有不同ip使用同一sessionid,这种比较难实现的攻击方式对于session而言,可以直接全部拒绝,销毁该sessionid,服务端不认这个sessionid,它就毫无意义了
--------------------------------------------------------
session的sessionid是保存在cookies里的,不是保存在浏览器的内存中,否则要cookieless的session模式有什么用呢?
======================================================
在最后,我邀请大家参加新浪APP,就是新浪免费送大家的一个空间,支持PHP+MySql,免费二级域名,免费域名绑定 这个是我邀请的地址,您通过这个链接注册即为我的好友,并获赠云豆500个,价值5元哦!短网址是http://t.cn/SXOiLh我创建的小站每天访客已经达到2000+了,每天挂广告赚50+元哦,呵呵,饭钱不愁了,\(^o^)/
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
