一个session有关问题.期待高手解答,高手哦
日期:2014-05-19 浏览次数:20619 次
一个session问题.期待高手解答,高手哦
昨天学了下session,知道可以把登录状态保存在session中,session中有个属性是sessionid ,而http是无连接协议,于是问题就来了: 假如我登录到一个页面A.jsp,这时候服务器给我的浏览器返回一个session ID ,我把用户名保存在session中,然后我跳转到B.jsp,这时浏览器把sessionID 发给服务器 ,服务器根据session ID验证session中是否有用户名来判断是否登录了.那么,要是我在另一台计算机上,像服务器发送这个sessionID,那么不是就可以拿到以登录这个权限了吗?(这里不考虑黑客怎么拿到session id,).这样session是不是不安全呢?还是我 舒服了其他什么地方,?不要说session存在服务器,不是在客户端之内的了,我知道在服务器,我是说人家拿到session iD和服务器建立连接,服务器根据session id换回了登录状态给他.
------解决方案--------------------
嗯。是的。只要服务器端没有销毁这个session那么你拿到之后是可以有这个权限的。
昨天学了下session,知道可以把登录状态保存在session中,session中有个属性是sessionid ,而http是无连接协议,于是问题就来了: 假如我登录到一个页面A.jsp,这时候服务器给我的浏览器返回一个session ID ,我把用户名保存在session中,然后我跳转到B.jsp,这时浏览器把sessionID 发给服务器 ,服务器根据session ID验证session中是否有用户名来判断是否登录了.那么,要是我在另一台计算机上,像服务器发送这个sessionID,那么不是就可以拿到以登录这个权限了吗?(这里不考虑黑客怎么拿到session id,).这样session是不是不安全呢?还是我 舒服了其他什么地方,?不要说session存在服务器,不是在客户端之内的了,我知道在服务器,我是说人家拿到session iD和服务器建立连接,服务器根据session id换回了登录状态给他.
------解决方案--------------------
嗯。是的。只要服务器端没有销毁这个session那么你拿到之后是可以有这个权限的。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
