我在套接字应用程序上使用ZAProxy进行了测试,收到的一个警报是Session ID in URL Rewrite
我注意到socket.io将使用网址中的sid发送请求:
http://localhost:3000/socket.io/?customerId=5c734f52f3d0428592fffasd&sid=0JfeAmWw8EceWQkTAAAA
ZAProxy建议这样做:
For secure content, put session ID in a cookie. To be even more secure consider using a combination of cookie and URL rewrite.
那么可以通过cookie发送sid吗?