session和cookie的区别假设我拿到了别的用户的淘宝网站的cookie，我放到自己的http请求里，我就可以冒充这个用户吗？

浏览量：2293 时间：2021-03-12 02:20:26 作者：admin

假设我拿到了别的用户的淘宝网站的cookie，我放到自己的http请求里，我就可以冒充这个用户吗？

理论上，如果你得到一个cookie，你就可以模仿一个用户。根据以下具体分析：

此“身份密码”由服务器生成并放置在客户端浏览器的cookie中。服务器将有一个与之对应的会话，会话ID也存储在cookie中。

如上所述，服务器的会话ID存储在客户端的cookie中，以便其他用户在cookie中获得会话ID后，可以模拟原始用户启动请求。

这似乎不合理

！但是，这是cookies和会话的机制。我们说过当cookie被禁用后，session可能无法正常工作，但是我们可以通过get将sessionid传递给服务器，因此如果sessionid以明文形式传输，则存在安全风险。

由于cookie存储在客户机中并且不安全，因此当我们将用户数据存储在cookie中时，我们将对其进行加密。例如，它将验证用户的IP、终端身份等，即使其他用户伪造Cookie，也无法验证。

1. 如果用户不操作的“长时间”超过了服务器配置的会话超时，导致会话失败，我们不能通过延长会话超时时间来解决这个问题，让用户原来的“长时间”与超时时间相比不是“长”吗？

2. 如果由于用户长时间“不操作”导致会话失败，我们会尽量生成“操作”，让用户每短时间“操作”一次与服务器交互，会话不会自然失败。通常，我们首先想到的是通过更改服务器的配置来延长服务器的会话超时。

1. 不同的访问方法。2不同的隐私政策。三。有效期不同。4不同的服务器压力。5浏览器支持不同。6跨域支持。

上一篇微信h5如何制作微信公众号h5制作

下一篇 git提交忽略文件 git忽略指定文件