- 说到session和就cookie就要说到一个http的问题,http的请求是无状态的。意思就是用户请求一次服务器,用户下次再请求,服务器并不知道是你,仍然把你当作新的用户。这样就会造成用户登陆后,但登陆状态并不能保存,下次仍然认为你未登录。
- 所以,为了能够记录用户状态,就有了Session和Cookie。拿登陆来说,用户请求服务器,它们之间建立Session(会话),服务器验证通过用户登陆信息后,会为用户创建Session对象,有唯一的SessionId保存登录状态。之后服务器会把SessionId通过Cookie返回给客户端,客户端就会在下次请求,通过Cookie把这个SessionId携带上。服务器识别出有这个SessionId后验证登陆状态,就返回给用户登陆之后的页面。用户可以进行登陆之后才有的操作。
- 通过上面讲述应该很容易明白Session劫持了,在用户使用不安全的网络时。而黑客正是这个网络的拥有者时,他就可以了解这个网络下所有请求内容,当然用户的Session也可以被黑客劫持,这样就会造成黑客通过这个Session拿到服务器和用户之间的Cookie,进行模拟用户登陆,造成信息泄露。
3分钟简述Session和Cookie
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章