我正在查看Michael Hartl的Ruby on Rails tutorial book。在第9章中,他談到了在用戶關閉瀏覽器後會話cookie被刪除。爲確保用戶在後續訪問中登錄,可以創建單獨的持久cookie。在會話cookie中存儲數據
他描述會話cookie(由rails實現)是安全的。所以問題是爲什麼有一個會話cookie過期?我知道它不再需要被稱爲會話cookie,你必須確保cookie不超過4kb的限制。屆時會話cookie將在其餘時間充當安全的「記住我」。
爲什麼網站沒有使其會話cookie永久?
我相信這個會議實際上是持久的,我曾與許多網站使他們永久,並用它們登錄一個用戶並跟蹤他們。
在Ruby on Rails教程中,他還告訴我們竊取cookie的四種主要方式。記住這一點。
我們必須區分兩種類型的cookie。一個是持久的,另一個是每個會話。
Microsoft定義它們爲:
永久性cookie保存的時間長度是當它通過cookie來Internet Explorer中的Web服務器設置。這些cookie用於在訪問站點之間存儲狀態信息。
每會話cookie用於僅在會話中存儲狀態信息。這些cookie僅在用戶訪問發佈每會話cookie的Web服務器時被緩存,並在用戶關閉會話時從緩存中刪除。
我們使用永久性cookie來告知用戶是誰。儘管如此,到期日還是取決於你。無論你喜歡什麼,你都可以設置它。但是當它到期時,用戶必須重新登錄。
對於開發者,也許有人認爲讓用戶一次又一次地記住並輸入它會更安全。
老實說,即使登錄後用戶做了一些重要的事情,詢問密碼也會安全得多。