这是一个创建于 2951 天前的主题,其中的信息可能已经有所发展或是发生改变。
为什么 session 是存储在服务器上所以比 cookie 安全,不能通过获取存储在客户端的 session_id 然后像服务器发起请求吗?
4 条回复 2017-10-03 17:30:35 +08:00
 | 1 holinhot 2017-10-02 19:27:44 +08:00 via iPhone 能啊 |
| 2 holinhot 2017-10-02 19:28:11 +08:00 via iPhone 可能会话绑定了 IP 地址 |
 | 3 sky101001 2017-10-02 19:53:48 +08:00 via iPad 可以啊,但是一般 session 存在服务器上,所以比起存在浏览器上的 cookie,用户更难修改。如果有方法弄到别人的 session_id,服务端不验 ip 的话确实就伪造成功了嘛~ session 的作用就是防修改伪造,只要能达到这个目的就行了。当然你也可以用 cookie 实现。flask 的 session 就是加了密的 cookie |
 | 4 NicholasYX 2017-10-03 17:30:35 +08:00 可以 |
Select Language