新しいWebアプリケーションフレームワーク(Second WAF)をプログラミングしています。クッキーレスセッションをサポートすべきかどうか疑問に思いました。
誰がそれを使用し、誰がそれを必要としますか?
質問する
683 次
2 に答える
1
これは優れた機能ですが、いくつかの側面を考慮する必要があります
- セッションIDを含むURLがGoogleなどのWebスパイダーによってキャッシュされた場合、セッション内のIDがURLで提供されたID以外の場合、コンテンツを提供できますか?
- 安全。十分にスマートに実装しないと、ユーザーはURLを別のユーザーに送信できます。URLにはセッションIDが含まれているため、最初のユーザーのセッションを乗っ取ることができます。たとえば、ASP.Net1.1では、Cookieなしのセッションメカニズムは脆弱であると見なされていました
于 2010-03-22T17:37:37.343 に答える
1
クッキーレスセッションをサポートすべきかどうか疑問に思いました。
これはユーザーベースに大きく依存すると思います。私の組織では、いくつかのイントラネットアプリケーションをサポートしています。また、ユーザーのデスクトップも管理しています。デスクトップ環境を制御しているため、ブラウザの設定を制御し、Cookieが有効になっていることを確認できます。これとセッションハイジャックのリスクが高まるため、Cookieなしのセッションを許可する理由はありません。
誰がそれを使用し、誰がそれを必要としますか?
エンドユーザーのブラウザ設定に関係なくセッションをサポートする必要がある場合は、Cookieなしのセッションを実装する必要があります。そうすることの意味を念頭に置いてください。
于 2010-03-23T04:13:11.863 に答える