【问题标题】:Is it unsafe to expose the user his own session ID?向用户公开自己的会话 ID 是否不安全?
【发布时间】:2012-04-14 02:19:24
【问题描述】:

我需要在 JavaScript 中使用代码来确定用户,我决定使用他的会话 ID。如果我将用户的会话 ID 暴露给自己,是否安全?

他可以使用 ID 破解网站会话或更改它们吗?

【问题讨论】:

    标签: security session


    【解决方案1】:

    我认为向用户显示他自己的会话 ID 不会造成重大的安全问题,因为此 ID 是每次访问都会生成的。只要该会话 id 没有被提供给它不属于的人,你就应该很好。

    【讨论】:

      【解决方案2】:

      无论如何,他都可以通过检查 cookie 来查看会话 ID(禁用 cookie 后,它通常甚至作为 GET 参数附加到每个链接)。

      所以不,他不能用他的自己的会话ID做任何坏事。

      【讨论】:

      • 另外值得一提的是,如果用户的 cookie 被禁用并且session.use_only_cookies 1 和/或session.use_trans_sid 0 被设置,PHP 可以在 URL 中跟踪会话 ID。
      • 这就是我所说的“在禁用 cookie 的情况下,它通常甚至作为 GET 参数附加到每个链接”
      • 默认配置通常不会在没有 cookie 的情况下附加它,因为用户可能会将带有会话 ID 的链接添加为书签/传输。
      • 啊,然后它被改变了 - 我认为它默认是 1
      猜你喜欢
      • 1970-01-01
      • 2015-07-21
      • 1970-01-01
      • 2017-01-31
      • 2010-09-13
      • 2018-05-10
      • 1970-01-01
      • 2020-11-23
      相关资源
      最近更新 更多