2
A
回答
7
他可以通过检查cookie来查看会话ID(禁用cookies通常甚至会将其作为GET参数附加到每个链接上)。
所以不行,他不能用自己的自己的会话ID做任何坏事。
3
我不认为会出现一个重大的安全问题,通过显示用户自己的会话ID,因为此ID是每次访问生成。只要该会话ID没有提供给其他人,它也不属于你,你应该很好。
相关问题
- 1. 是codeigniter会话安全吗?
- 2. 公开AWS Cognito ID是否安全?
- 3. PHP会话足够安全以便自己登录吗?
- 4. ASP.NET会话访问技术是多用户安全的吗?
- 5. 公开mongodb和安全性的ID
- 6. 在URL中公开自动递增ID是否安全
- 7. 为什么会话ID cookie不安全
- 8. Google App Engine:公开透露用户的user_id安全吗
- 9. PHP是安全的会话
- 10. 是匿名会话安全吗?
- 11. user_Id会话安全吗? Hartl
- 12. ServerSide会话安全吗?
- 13. 使用会话ID在安全网页上验证用户
- 14. 向其他用户公开OpenID链接安全吗?
- 15. 这是会话变量的安全使用吗?
- 16. Cookie是会话的通用安全实现吗?
- 17. 我可以通过我自己设置会话ID吗?
- 18. 使用GET变量检查用户登录会话安全吗?
- 19. 使用SQLAlchemy与引擎/连接而不是会话是线程安全的吗?
- 20. PHP会话是否安全?
- 21. WCF会话是否安全?
- 22. mysql自动增量安全地用作用户ID吗?
- 23. 会话用户ID?
- 24. 多用户安全shell会话共享
- 25. PHP安全会话和用户登录
- 26. 会话ID验证 - 安全 - 离子/角
- 27. 如何安全地存储会话ID
- 28. 会话安全
- 29. CSRF验证令牌:会话ID安全吗?
- 30. 保持MVC中会话中的用户信息不安全
另外值得一提的是,如果用户的Cookie被禁用并且设置了session.use_only_cookies 1和/或session.use_trans_sid 0,PHP可以在URL中追踪会话ID。 – 2012-03-30 12:11:30
这就是我的意思,“禁用cookies通常甚至会将其作为GET参数附加到每个链接” – ThiefMaster 2012-03-30 12:51:47
默认配置通常不会在没有cookie的情况下追加它,因为用户可能会在其中使用会话ID进行书签/传输链接。 – 2012-03-30 14:18:47