我注意到,当禁用cookie时,servlet会将会话数据编码为URL(可见)。当有人窥探网络中的流量时,这是否会打开攻击的可能性?另外,为什么不将它添加到数据部分并作为发布请求发送,以便可以使用https来提供安全性?
我正在创建一个会话,当登录成功并在会话中存储用户ID以及db中的用户ID和会话ID的组合。对于每个操作,我正在验证提供给存储在db中的会话ID和用户ID以及会话ID。这是正确的做法吗?
答案 0 :(得分:0)
如果会话ID在cookie或URL中,则无关紧要。如果有人查看网络流量,他可以在两种情况下获得ID。
如果您想保护会话ID,https是唯一的方法。
https也会保护网址。