会话比cookie更为安全。但是仍然有可能窃取会话,因此黑客将完全有权访问该会话中的任何内容。避免这种情况的一些方法是IP
Checking(效果很好,但是fi值很低,因此本身不可靠),并使用随机数。通常,对于一个随机数,您每页都有一个“令牌”,以便每个页面都检查最后一页的随机数与它存储的内容是否匹配。
在任一安全检查中,都将失去可用性。如果您进行IP检查,并且用户位于内部网防火墙(或引起此情况的任何其他情况)的后面,而该防火墙无法为该用户保留稳定的IP,则他们每次丢失IP时都必须重新进行身份验证。使用随机数,您将获得总是很有趣的“单击将导致此页面中断”的情况。
但是,有了cookie,黑客可以使用相当简单的XSS技术简单地窃取会话。如果您将用户的会话ID存储为cookie,那么他们也容易受到此攻击。因此,即使会话仅对可以进行服务器级黑客攻击的用户(如果您的服务器是安全的,它需要更复杂的方法,并且通常需要一定数量的特权)才有意义,您仍然需要进行额外的验证级别根据每个脚本请求。您不应该将cookie和AJAX一起使用,因为如果cookie被盗,这将使它更容易完全进入城镇,因为您的ajax请求可能无法对每个请求进行安全检查。例如,如果页面使用随机数,但从未重新加载页面,则脚本可能仅在检查该匹配项。如果cookie保留了身份验证方法,
