请教个 cookie 和 session 的问题

2017-10-02 18:38:22 +08:00

bmcjxhgwy

为什么 session 是存储在服务器上所以比 cookie 安全，不能通过获取存储在客户端的 session_id 然后像服务器发起请求吗？

1775 次点击

所在节点

问与答

4 条回复

holinhot

2017-10-02 19:27:44 +08:00

能啊

holinhot

2017-10-02 19:28:11 +08:00

可能会话绑定了 IP 地址

sky101001

2017-10-02 19:53:48 +08:00

可以啊，但是一般 session 存在服务器上，所以比起存在浏览器上的 cookie，用户更难修改。如果有方法弄到别人的 session_id，服务端不验 ip 的话确实就伪造成功了嘛～
session 的作用就是防修改伪造，只要能达到这个目的就行了。当然你也可以用 cookie 实现。flask 的 session 就是加了密的 cookie

NicholasYX

2017-10-03 17:30:35 +08:00

可以

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/395177

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.