我们正在编写一个新的 Web 应用程序框架(第二个 WAF)。我想知道我们是否应该支持无 cookie 会话。
谁使用它,谁需要它?
问问题
683 次
2 回答
1
这是一个很好的功能,但必须考虑几个方面
- 如果包含会话 ID 的 URL 被 Google 等网络蜘蛛缓存了怎么办,如果会话中的 ID 不是 URL 中提供的 ID,您是否能够提供内容?
- 安全。如果你没有足够聪明地实现它,用户将能够向另一个用户发送一个 URL,其中 URL 包含会话 ID,因此允许劫持第一个用户的会话。例如,在 ASP.Net1.1 中,cookieless 会话机制被认为是易受攻击的
于 2010-03-22T17:37:37.343 回答
1
我想知道我们是否应该支持无 cookie 会话。
我认为这在很大程度上取决于您的用户群。在我的组织中,我们支持多个 Intranet 应用程序。我们还控制我们的用户桌面。由于我们控制他们的桌面环境,我们可以控制浏览器设置并确保启用 cookie。由于这一点以及会话劫持风险的增加,我们没有理由允许无 cookie 会话。
谁使用它,谁需要它?
那些无论最终用户的浏览器设置如何都需要支持会话的人需要实现无 cookie 会话;牢记这样做的影响。
于 2010-03-23T04:13:11.863 回答