- 标签
- Session
Session 登录状态为什么可能被劫持:生命周期与安全管理
理解 Session ID 的生成、轮换、超时、注销和固定攻击,避免只设置 Cookie 却没有管理登录生命周期。
- 2026/07/13 11:13
- 0
- 0
- 0
- 24.0℃
Cookie 为什么会自动携带:Session、HttpOnly、Secure 与 SameSite
浏览器基于域名、路径和Cookie标记决定是否自动携带 Cookie,Session管理核心仍需依赖服务端。安全配置需组合使用Secure(强制HTTPS)、HttpOnly(阻止JS窃取)和SameSite(默认Lax即同源携带,跨源不跟随),其中SameSite=S glBegin不能替代CSRF Token。推荐使用__Host前缀配置,需同时满足Secure+Path=/+无Domain设置,这种模式兼具跨子域名限制和同源容错优势。与localStorage相比,Cookie虽能通过HttpOnly防御XSS直接读取,却仍需配合其他机制防范CSRF和漏洞利用。常见陷阱包括误认为HttpOnly可禁用Cookie发送、SameSite=Lax可替代认证Token、Path即可实现权限隔离,正确配置需严格遵循安全原则与服务端权限验证结合。
- 2026/07/13 11:13
- 1
- 0
- 0
- 24.1℃