【浅谈session真正含义 session是什么意思】 什么是Session?
- Session在网络应用中被称为“会话控制” 。
- Session存储在服务器端 。
- 用户A访问网站B , A登录网站后 , 服务器会创建一个Session来保存用户状态和相关信息 。每个Session对应一个标识符SessionID来标识用户身份 。SessionID一般是由服务器以加密的方式写到cookie中的 , 这样用户A登录后 , 访问网站B中不同的网页时请求中会带上SessionID来标识他的身份 , 以此实现一次登录 , 访问全网站 。(现在大多数站点采用基于cookie的session管理方式:用户登陆成功后 , 设置一个唯一的cookie标识本次会话 , 基于这个标识进行用户授权 。只要请求中带有这个标识 , 都认为是登录态 。)
文章插图
Session劫持
只要请求中带有这个标识 , 都认为是登录态这就危险了 , 一旦你的标识被别人获取 , 你的Session就被别人劫持了 , 他就可以用你的身份为所欲为 。
最基本的cookie窃取方式:xss漏洞
攻击者最简单获取他人cookie信息的方法是XSS攻击 , 想办法注入js脚本到被攻击者客户端并执行 , 通过执行这个js脚本 , 攻击者在被攻击者登录后获得了他的SessionID , 通过在自己客户端修改sessionId获得了被攻击者的身份 , 后果不堪设想 。。。
防御方法
- cookie设置为HttpOnly , js脚本就无法再获取cookie , 也就无法得到你的会话标识 。
- 防止xss注入:过滤用户输入
- 每次请求做其他验证:cookie中取加密后的用户id , session中取用户id并加密 , 比较二者 , 不同时拦截住 。(个人理解)
推荐阅读
- 浅谈磨砂膏的使用规律 身体磨砂膏多久用一次比较好
- 浅谈水饺的利润比例 一天卖600元饺子利润多少
- 浅谈10个著名心理学理论 世界十大著名心理学效应
- 女为悦己者容的真正含义 女为悦己者容什么意思
- 浅谈国内3大地图优缺点 最好用的导航地图是哪个
- 分享5个永久免费阅读神器app 十大真正免费无广告看书软件
- 浅谈小红书收录基础知识 小红书收录是什么意思
- 浅谈古代男子必须掌握的技能 古代的六种技能是指什么
- 浅谈千兆宽带最大网速范围 千兆宽带测速多少正常范围
- 揭晓寒号鸟真正的长相照片 寒号鸟面部是什么样子