我在浏览器中删除了该网站的所有 cookie,再次检查 cookie:没有 cookie。重新加载 example.com,检查 cookie:SESSID(我的 php 会话 cookie)。
如果我不登录,难道不应该没有cookie吗?这可能是什么原因造成的?
我想一个可能的原因:闪信息。但是我没有在 example.com 中使用它们,我只检查是否有要打印的 flash 消息,如果没有则什么都不做。
我尝试禁用 CSRF 保护,但没有奏效。
这是根据分析器的响应,在删除 cookie 并发出请求之后:http: //i.imm.io/LSRr.jpeg
我为此打开了一个问题:https ://github.com/symfony/symfony/issues/6036
显然,即使您没有在其中存储任何内容,也可以创建会话。
检查你的配置文件
framework:
session:
auto_start: true
无需登录即可创建会话的原因有很多。第三方捆绑包可能正在创建会话,session.auto_start可能在您的 php.ini 中启用,或者您的特定安全配置可能会自动创建会话。在表单中使用 CSRF 令牌也会创建会话。
大多数网站使用 cookie 的目的远不止记住您的用户名和密码。创建它们是为了检查您上次访问该站点的时间,如果您为该站点设置了任何自定义设置,以记住自动登录的用户名和密码。
所以是的,对于大多数网站来说,每次你第一次访问它时创建一个或更多的 cookie 是很正常的,然后每次访问都会更新它们。
另外,我认为 SESSID 只会出现在某些浏览器中,用于检查服务器的会话 ID。
你使用的是什么浏览器?它可能是由浏览器而不是网站创建的 cookie。