我需要一個使用該模板的網址。現在有兩種方式來存儲的URL,並在Python中使用,我猜... 一個是使用會話來存儲該URL,並在以後得到它,只要我們需要它... 或 其次是使用cookie來存儲URL,並在以後得到它。將Cookie存儲到Cookie或會話中?
那麼哪種方法在安全性方面更合適? 是否有任何其他方法在Python中,這是更好的存儲網址和使用,以後,這是更安全的..?
雖然使用cookie有人可以很容易地改變我猜的信息,在會話也有人可以劫持,並做出改變....
我不認爲「會話劫持」意味着你認爲它的意思。有人可以用會話劫持做的唯一事情就是冒充用戶。實際會話數據存儲在後端(例如數據庫中),因此如果您不允許用戶訪問該特定數據,則無法更改它,無論它們是實際目標用戶還是假冒某人該用戶。
所以,結果是,將它存儲在會話中。
在評論後編輯那麼,你最好不要讓任何信息發送到你的服務器,然後讓你的網站只瀏覽。
說真的,我不明白爲什麼「會話數據」比其他任何東西都不安全。你是不合理的偏執狂。如果要存儲數據,則需要從某處獲取數據,無論是從服務器端計算還是從用戶提交。如果你不能在服務器端計算這個特定的URL,它需要來自用戶。然後,您需要將其存儲在服務器上,以針對特定用戶。我沒有看到你想要做什麼。
我們仍然會將會話的信息發送到服務器,所以如果有人在客戶端模擬該信息,那麼模擬的URL將會到服務器端,並在那個時候如果有人可以嘗試注入SQL注入或crosssite腳本爲我的網址..他可能會成功... r8? –
在安全性方面,你應該把它存儲在會話。如果它在Cookie中,客戶可以將你的網址修改爲他想要的任何內容。
如何阻止會話劫持比..?我需要一個更安全的方式,因爲我以後使用該URL,所以不要讓攻擊者無論如何都要更改該URL。 –
您究竟如何阻止會話劫持?這取決於客戶端的安全性。您可以用ssl加密防止中間人攻擊,但是... – Jingo
我的目標是找到存儲網址並在稍後使用它的最佳合理解決方案,因此我們可以;停止會話劫持..所以我不用;不想使用會話..這就是爲什麼我在這裏問這個問題.. –
我不認爲這是特定於Python。將cookie存儲在cookie或會話中可能是一種語言不可知的問題。 – Arlaharen