2
A
回答
7
他可以通過檢查cookie來查看會話ID(禁用cookies通常甚至會將其作爲GET參數附加到每個鏈接上)。
所以不行,他不能用自己的自己的會話ID做任何壞事。
3
我不認爲會出現一個重大的安全問題,通過顯示用戶自己的會話ID,因爲此ID是每次訪問生成。只要該會話ID沒有提供給其他人,它也不屬於你,你應該很好。
相關問題
- 1. 公開AWS Cognito ID是否安全?
- 2. PHP會話足夠安全以便自己登錄嗎?
- 3. ASP.NET會話訪問技術是多用戶安全的嗎?
- 4. Google App Engine:公開透露用戶的user_id安全嗎
- 5. ServerSide會話安全嗎?
- 6. user_Id會話安全嗎? Hartl
- 7. 我可以通過我自己設置會話ID嗎?
- 8. Cookie是會話的通用安全實現嗎?
- 9. 這是會話變量的安全使用嗎?
- 10. 使用GET變量檢查用戶登錄會話安全嗎?
- 11. WCF會話是否安全?
- 12. PHP會話是否安全?
- 13. 使用SQLAlchemy與引擎/連接而不是會話是線程安全的嗎?
- 14. PHP安全會話和用戶登錄
- 15. 如何安全地存儲會話ID
- 16. 會話ID驗證 - 安全 - 離子/角
- 17. 會話安全
- 18. CSRF驗證令牌:會話ID安全嗎?
- 19. 我的登錄會話是否安全?
- 20. PHP的會話變量是否安全?
- 21. 讓用戶呈現自己的SVG文件的安全隱患
- 22. 打開ID爲的會話
- 23. 會話線程安全嗎?SMPP Logica庫
- 24. 這樣會話數據更安全嗎?
- 25. Django會話線程安全嗎?
- 26. php中的會話安全
- 27. 將Mat安全地轉換爲不同類型的自己是否安全?
- 28. 安全會話cookie不起作用
- 29. 公開顯示phpinfo()是否安全?
- 30. asp.net會話安全
另外值得一提的是,如果用戶的Cookie被禁用並且設置了session.use_only_cookies 1和/或session.use_trans_sid 0,PHP可以在URL中追蹤會話ID。 – 2012-03-30 12:11:30
這就是我的意思,「禁用cookies通常甚至會將其作爲GET參數附加到每個鏈接」 – ThiefMaster 2012-03-30 12:51:47
默認配置通常不會在沒有cookie的情況下追加它,因爲用戶可能會在其中使用會話ID進行書籤/傳輸鏈接。 – 2012-03-30 14:18:47