【发布时间】:2012-04-14 02:19:24
【问题描述】:
我需要在 JavaScript 中使用代码来确定用户,我决定使用他的会话 ID。如果我将用户的会话 ID 暴露给自己,是否安全?
他可以使用 ID 破解网站会话或更改它们吗?
【问题讨论】:
我需要在 JavaScript 中使用代码来确定用户,我决定使用他的会话 ID。如果我将用户的会话 ID 暴露给自己,是否安全?
他可以使用 ID 破解网站会话或更改它们吗?
【问题讨论】:
我认为向用户显示他自己的会话 ID 不会造成重大的安全问题,因为此 ID 是每次访问都会生成的。只要该会话 id 没有被提供给它不属于的人,你就应该很好。
【讨论】:
无论如何,他都可以通过检查 cookie 来查看会话 ID(禁用 cookie 后,它通常甚至作为 GET 参数附加到每个链接)。
所以不,他不能用他的自己的会话ID做任何坏事。
【讨论】:
session.use_only_cookies 1 和/或session.use_trans_sid 0 被设置,PHP 可以在 URL 中跟踪会话 ID。