假如我們登錄百度,把百度的cookie暴漏給別人,那麼別人就可以通過cookie登錄你的賬號。(百度對應的cookie爲其中的BDUSS,自己玩去吧)
一般網站都會簡單的通過session與cookie一一對應來解決登錄問題,由於服務器並不知道你是誰,只能通過cookie查找session來識別,那麼你就可以幹掉cookie,留下孤獨的session,期望cookie的光顧,創建新的cookie,生成新的session,幹掉cookie,如此循環。無數同樣內容的session,一個活着的cookie…
結果就是服務器養不起這麼多的session啊!
cookie與session
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
關於oracle12問題
有關ojdbc中Cause: java.sql.SQLException: ORA-01017: 用戶名/口令無效; 登錄被拒絕的問題 只需將oracle驅動包換爲ojdbc7即可