我正在浏览Michael Hartl的Ruby on Rails tutorial book。在第9章中,他讨论了在用户关闭浏览器后删除会话cookie。为了确保用户在后续访问期间登录,可以创建单独且持久的cookie。
他将会话cookie(由rails实现)描述为安全。所以问题是为什么会话cookie到期了?我知道它不再需要被称为会话cookie,你必须确保cookie低于4kb限制。会话cookie将作为一个安全的"记住我"在其余生中。
为什么不让网站永久使用会话Cookie?
答案 0 :(得分:3)
在 Ruby on Rails教程中,他还告诉我们窃取cookie的四种主要方法。记住这一点。
我们必须区分两种类型的cookie。一个是持久的,另一个是每个会话。
Microsoft将它们定义为:
持久性cookie存储的时间长度是Web服务器将cookie传递给Internet Explorer时设置的。这些cookie用于在访问站点之间存储状态信息。
每会话cookie仅用于在会话中存储状态信息。这些cookie仅在用户访问发出每会话cookie的Web服务器时缓存,并在用户关闭会话时从缓存中删除。
我们使用持久性cookie来告诉用户是谁。然而,失效日期取决于您。您可以随意设置它。但是当它到期时,用户必须再次登录。
对于开发者来说,也许有人认为让用户记住并一次又一次地输入它会更安全。
老实说,即使用户登录后,当用户正在做一些重要的事情时,要求输入密码会更安全。
答案 1 :(得分:1)
我认为会话实际上是持久性的,我与之合作的许多网站都将它们永久化,并用它们来记录用户并跟踪它们。