据我所知,在身份验证阶段之后,当用户将其用户名和密码发送到服务器时,使用基本身份验证,无论是否使用https,服务器都会向客户端发送sessionId ,之后客户端为每个后续请求使用 sessionId 。
最好的拉格。
答案 0 :(得分:1)
您可以设置 httpOnly 标志,以确保无法从javascript中读取Cookie。
安全标记可以确保cookie只能通过基于 SSL / TLS 的连接传输。
答案 1 :(得分:0)
以cookie形式发送,可以轻松窃听。
如果它是通过HTTPS发送的,则不是(您已将其添加为标记)。这是HTTPS的重点。
还有其他一些攻击可能会危及网络会话,但这是一次不同而且时间较长的讨论。
我的第二个问题
应该作为一个单独的问题发布。
会话ID专门绑定到会话,因此可以引用超出身份验证所需的状态信息(例如您的购物篮),而令牌身份验证专门处理身份验证。