-1

クッキーとセッションの両方に長所と短所があります。しかし、ユーザーがログインすると、ユーザー名とパスワードを使用してセッションが作成されるのではないかと考えていましたが、登録すると、一意の「アクセストークン」が与えられます。

したがって、ログインすると、アクセストークンを含むCookieと、ユーザー名とパスワードを含むセッションが作成されます。

次に、データベースをスキャンして、セッションにユーザー名とパスワードがあり、Cookieにアクセストークンがあるユーザーを探します。

これにより、セッションハイジャックが防止されることを期待していました。

4

1 に答える 1

2

いいえ、そうではありません。セッションは基本的にCookie内のトークンであるため、2番目のトークンを盗まなければならないようにするだけです。誰かが1つを盗むことができるなら、彼らは2つを盗むことができます。セッションハイジャックを防ぐための戦略については、グーグルで検索することをお勧めします。

于 2011-09-05T19:30:37.270 に答える