问题标签 [session-cookies]

我们使用keep me logged in或Remember me选项登录到应用程序，以便实现此功能的最佳方式是什么？

我们是否必须在浏览器中保留这些cookie或什么？这是在应用程序中实现这一目标的最佳方法

我正在使用 Rails 3，devise，cancan。我已将 cookie 设置为特定于子域​​，并将子域与用户名一起用作身份验证密钥。

IE

因此，当我在特定子域中对用户进行身份验证时，该用户无权访问任何其他子域。如果我只是编辑他的 cookie 会话（firebug）并更改 cookie 的域（即从 foo.mydomain.com 更改为 fee.mydomain.com），则用户可以获得对新子域的访问权限。

我意识到我可以使用 cancan 阻止访问，但理想情况下我想通过身份验证来限制用户。它以某种方式感觉更安全，并且需要更少的配置（在ability.rb 中少了几行）。

知道如何防止这种死的简单黑客攻击吗？

是否可以有两个相同的cookie

• 姓名
• 主机和
• 小路

例如：

饼干#1

饼干#2

所以我的问题是：在技术上是否可以同时拥有这两个 cookie？

我对基于令牌的身份验证的理解是，在身份验证时（可能通过 ssl），将一个令牌传递给用户，以便即时进行廉价的用户验证。一种实现方式是生成一个 cookie，该 cookie 传递给用户以进行会话管理。

但是，我的理解是，基于令牌的身份验证（至少通过 cookie）容易受到中间人的攻击，如火羊。

是否有其他实施方法可以绕过这个主要的安全问题，还是我对 tba 有根本的误解？

我有一个安全会话 cookie 集。我知道它就在那里，因为我在 Chrome 开发者工具控制台和Firefox中的Firebug上看到了它。

当我尝试从JSP中读取它时：

我总是得到null。

我试图这样做的页面是：

• 在设置 cookie 的同一域上（在本例中为“localhost”）

• 安全（HTTPS）

如何读取 cookie 值？我究竟做错了什么？

我有一个网站 www.example.com 当用户在访问http://example.com时登录，然后当他浏览http://www.example.com时，他显示为未登录。我认为原因是当他访问http://example时设置的 cookie 在同一用户访问http://www.example.com时没有发送到服务器

如果用户登录任何一个站点，我希望用户在两个站点中都显示为已登录。我也有一个移动网站http://m.example.com。我也希望用户在此处显示为已登录。

我正在为我的 Web 应用程序使用 PHP 和 Zend Framework。

我想执行一个http请求并将当前脚本收到的所有cookie（特别是会话识别cookie）传递给这个请求。然后我想将结果保存在一个字符串中以供进一步操作。在 PHP 中执行此操作的最佳方法是什么？

我使用的是 PHP 5.2，并且我在共享主机上，所以我决定将会话 cookie 存储在我自己的文件夹中，但似乎没有任何垃圾收集。cookie 存储在那里并且永远不会被删除。我怎样才能解决这个问题？我正在使用的代码是

会话在我测试过的所有其他浏览器中都能完美运行。

如果我尝试使用 获取会话 ID sessionid = request.COOKIES['sessionid']，则会收到此错误：KeyError: 'sessionid'

这就是我在 settings.py 中的内容：

站点是 vb.is、fiskifrettir.vb.is 和 hestabladid.vb.is

服务器设置是：apache2 (mod_wsgi) 和 nginx

我有一个具有以下域的 .net 网络应用程序：www.domain.com sub.domain.com files.domain.com

当用户登录到 domain.com 或 sub.domain.com 时，我希望他们共享会话状态（即同时登录到两个域）。这可以通过将会话 cookie 上的域设置为“.domain.com”来实现。但是，我的问题是域“files.domain.com”由于安全问题不应该具有会话状态（来自该域上托管的用户制作文件的 xss 攻击是一个问题）。

在 ASP.NET 中是否可以为这两个域使用相同的 asp.net 会话 ID，但不能为第三个域使用相同的 asp.net 会话 ID？

提前致谢！