用户登录  |  用户注册
首 页源码下载技术资讯工具素材字体下载PPT模板休闲游戏站长工具加入收藏
当前位置:第一源码网技术资讯ASP技术

session与cookies的区别

减小字体 增大字体 作者:佚名  来源:本站整理  发布时间:2012-09-23 00:39:35
    session变量保存在客户端主机的内存上,关闭浏览器或者session脚本过期后,即自动清除。

    cookies保存在客户端主机的硬盘上,可以自行设置cookies的存在周期,除非设置了临时cookies,否则关闭浏览器后cookies信息仍旧保存在主机的硬盘上。

    Cookies的安全性能一直是倍受争议的。虽然Cookies是保存在本机上的,但是其信息的完全可见性且易于本地编辑性,往往可以引起很多的安全问题。所以Cookies到底该不该用,到底该怎样用,就有了一个需要给定的底线。

    先来看看,网站的敏感数据有哪些。

    登陆验证信息。一般采用Session("Logon")=true or false的形式。

    用户的各种私人信息,比如姓名等,某种情况下,需要保存在Session里

    需要在页面间传递的内容信息,比如调查工作需要分好几步。每一步的信息都保存在Session里,最后在统一更新到数据库。

    当然还会有很多,这里列举一些比较典型的

    假如,一个人孤僻到不想碰Session,因为他认为,如果用户万一不小心关闭了浏览器,那么之前保存的数据就全部丢失了。所以,他出于好意,决定把这些用Session的地方,都改成用Cookies来存储,这完全是可行的,且基本操作和用Session一模一样。那么,下面就针对以上的3个典型例子,做一个分析

    很显然,只要某个有意非法入侵者,知道该网站验证登陆信息的Session变量是什么,那么他就可以事先编辑好该Cookies,放入到Cookies目录中,这样就可以顺利通过验证了。这是不是很可怕?

    Cookies完全是可见的,即使程序员设定了Cookies的生存周期(比如只在用户会话有效期内有效),它也是不安全的。假设,用户忘了关浏览器 或者一个恶意者硬性把用户给打晕,那用户的损失将是巨大的。

[1] [2]  下一页

Tags:

作者:佚名

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
Copyright © 2010-2012 1SRC.Net. All Rights Reserved .
沪ICP备12037173号 页面执行时间:10,351.56000 毫秒