- 主题:session比cookie的优势在哪里,或者说两者有什么本质区别呢
把概念理清楚就不会有这个问题了。
session本身跟cookie不是一个层面的东西,一个是抽象概念,一个是具体协议,根本不能比较。
而通常说“session比cookie安全”的时候,这里的session是涉及在服务端保持对象的一个具体实现,而这里的cookie则是指将对象序列化以后通过set-cookie传到客户端保存。于是,就演变为“对象保存在服务端比保存在客户端安全”,这样就很好理解了吧。至于说在这个session的实现中用到了cookie,很简单,这里虽然用cookie来保留凭证,但毕竟没有把对象直接存放在cookie中,所以相对直接“用cookie”来说,当然要安全一些。
而所谓cookie传送时设为不允许本地保存,并不会提高什么安全性,因为是否保存也只是协议而已,别人不遵守你也没办法,数据对象还是放服务端安全些。
【 在 webasker (学习web编程) 的大作中提到: 】
: session的实现最后还是要依赖于cookie,因为session还是要通过cookie来传递sessionid,这里暂时不考虑url的enconding,为何说session比cookie安全呢,只要将cookie传送时设为不允许在本地保存,安全性应该就和session相同了吧
--
修改:sayinger FROM 202.106.68.*
FROM 202.106.68.*
那在你这个方案里,cookie扮演了什么角色,跨窗口数据共享?
【 在 shui (水色) 的大作中提到: 】
: 针对html中的字符类型或者数字类型数据,在不加密wifi和http上面是有可能做到保密的。cookie可以从嵌在html里的javascript访问,也可以视为html中的数据。只要自己实现加解密就可以了。
: 当然,由于http没证书这一说,所以防不住别人截你的dns。
--
FROM 202.106.68.*
能跨窗口还不能跨请求?不过意义并不大,一来保存的数据太少,二来跟js在不同的scope内,很容易带来同步的问题。自己模拟多窗口比这个灵活可靠得多.
【 在 shui (水色) 的大作中提到: 】
: 确切的说是跨请求
--
FROM 114.243.177.*
能截取sessionid,还不能截取cookie?
原文是“session比cookie更安全”,并没有说session本身有多安全啊。
ssl还有中间人欺骗呢,绝对安全只有物理上隔绝
【 在 webasker (学习web编程) 的大作中提到: 】
: 别人截取了你的sessionid,那么还有什么安全可言?
--
FROM 202.106.68.*
莫非你的应用是单窗口模式?
【 在 ygnm (一个农民) 的大作中提到: 】
: n多人没有点退出/注销的习惯,直接关掉窗口了事;
: 于是你这边一直发请求保持当前session活着;
: 不知道关掉的时候用js去发个注销的请求能不能发出去,进程是等这个js执行完呢,
: ...................
--
FROM 202.106.68.*
网银用activeX那你随便整,反正浏览器的unload里面只能做些资源清理,beforeunload里面只能做退出提示,向服务器发请求那都是不靠谱的事情
【 在 ygnm (一个农民) 的大作中提到: 】
: ha, 下面那段是我刚yy的,没想到这个,
: 不过用网银的时候关掉的时候的确会提醒的,而且网银好像的确默认就在一个窗口里面,
: 这样说来的话网银的确可以强制作成在一个窗口里面,
: ...................
--
修改:sayinger FROM 202.106.68.*
FROM 202.106.68.*