我正在制作一个网络应用程序,用户登录到他的帐户,然后可以查看其他用户的详细信息,并且只能编辑自己的详细信息,除非他已被指定为网站的管理员。这只是一个开始。
但我的问题是关于会话劫持。在会话劫持下,如果我们可以访问其他用户的会话ID,则可以访问其帐户。 在我的项目中,我在登录时验证用户名和密码,然后在会话中存储用户的用户名。像这样的东西;
session.setAttribute(" UNAME",用户名);
所以,我的问题是:很多时候我们都知道朋友的用户名。如果我正在运行自己的帐户,我可以很容易地看到自己的会话ID,那么有什么方法可以看到网站设置的会话变量?! 所以,在我的情况下,用户可以看到我已经在会话中存储了用户名并且任何机会更改它?!就像在会话劫持中一样,我们改变了session-id。
我很抱歉,我知道这是一个非常令人困惑的问题。 :| 但请帮助别人.. 提前谢谢..
答案 0 :(得分:1)