POPTEST老李分享session,cookie的安全性以及区别 2

Posted 2020-06-15

四，session和cookie谁更安全

就个人而言，我觉得session更安全一点，我以下几点看法。

1，如果session和cookie一样安全的话，二者就没有并要同时存在了，只要cookie就好了，让客户端来分提服务器的负担，并且对于用户来说又是透明的。何乐而不为呢。

2，session的sessionID是放在cookie里，要想功破session的话，第一要功破cookie。功破cookie后，你要得到 sessionID,sessionID是要有人登录，或者启动session_start才会有，你不知道什么时候会有人登录。第二，sessionID是加密的，第二次session_start的时候，前一次的sessionID就没有用了，session过期时sessionid也会失效，想在短时间内功破加了密的 sessionID很难。session是针对某一次通信而言，会话结束session也就随着消失了，而真正的cookie存在于客户端硬盘上的一个文本文件，谁安全很显然了。

3，如果session这么容易被功破，这么不安全的话，我想现有的绝大部分网站都不安全了。

---

1、作用域控制对象

(1)作用

表示一个对象的存在范围

(2)分类

A：当前jsp文件（当前jsp编译生成的类文件）

page  默认的

特例：包含指令实现包含效果时，在被包含文件中声明的对象。

 

B：具有明确请求传递关系的两个jsp文件

request：利用属性（一键一值）实现的对象存储。

request中属性存储的对象信息，会在接受请求的文件执行完成后，自动清除。

使用场景：页面转发效果时，进行的值的传递。

 

C：客户端信息的存储方式

第一种：用户（客户端）信息存储方式：用户信息全部由客户端实现存储和管理。

第二种：服务器端的信息存储。信息统一存储到服务器上。

 

技术上的实现：

客户端存储方式：Cookie

服务器端的信息存储：Session application

 

2、Cookie

(1)理解

“小甜饼”。存储在客户端机器浏览器临时目录中，实现用户基本信息存储的临时文本文件。

(2)特征

A：是文本文件

B：是临时性的文本文件。

C：文件的大小一般不超过1K

D：存储在浏览器的临时目录中

E：默认的，COOKIE对于浏览器不兼容，对WEB应用程序共享。

F：cookie以名称与值的方式存储用户的基本信息。

G：存储信息的作用域是：一个浏览器访问的多个页面

H：cookie会泄露用户个人隐私

I：cookie是会被客户端禁用的

(3)应用

A：创建cookie

Cookie  cookie=new Cookie("名称"，“值”);

一个cookie只能存储一个值，一个Cookie文件可以存储多个Cookie

 

B：指定cookie的生效期

明确cookie文件的存在时间。

cookie的分类：会话级ccokie和永久性cookie。

会话级cookie：cookie只在当前用户访问过程中，在缓存中存在。用户一退出，cookie自动清除。程序上的体现：不指定cookie的保存时间。

永久性cookie：一明确cookie的存在时间了，cookie文件就会在客户端机器中创建。一创建，就认为是永久性的。

 

cookie.setMaxAge(int)--->秒为单位

 

C：输出cookie

在客户端建立文本

response.addCookie(cookie)

 

D:从客户端获得Cookie

request.getCookies()---->数组。客户端当前浏览器中所有cookie组成的集合。