1
開始學習Python的Flask網絡應用程序框架,仍在學習曲線中,所以請耐心等待。Flask客戶端會話
我在想安全的Web應用程序的客戶端會話有多合適。從它似乎有一些嚴重的問題:
- 因爲所有的會話變量被序列化並在cookie中應該小心他們店裏有多少數據進行編碼,以保持HTTP數據的大小來回合理的尺寸。
- 我不確定相同的鍵/值集是否具有相同的序列化值,但是如果我要在一個會話中獲取並存儲cookie值,我不能在同一個會話中提供相同的值(儘管已加密)在另一次,並使服務器相信這些是真正的會話變量值?一天內允許用戶做什麼並不意味着另一天就可以有同樣的事情。如果這些會話變量值必須始終保證安全,那麼將它們保存在「緩存」中有什麼好處呢?然後,他們起不了什麼更多的目的不是讓我們用漂亮的GET的URL(即,而不是醜陋的查詢字符串某些參數)
所以,也許我要尋找的答案,是瓶客戶端的限制會話,考慮可能的中間人攻擊(當然是用於非安全http會話)或高級惡意用戶,他們存儲cookie值以便在稍後時間將其中繼。
謝謝,你的意見讓我看着正確的方向。 – Passiday 2013-05-03 21:39:18