为什么express-session connect.sid值在客户端可见?
问题描述 投票:0回答:1
我正在玩快速会话并阅读他们的文档,在客户端看来,名称为connect.sid的cookie存储了会话ID。我对安全性的理解是有限的,但是如果会话ID如此容易访问,这不是一个漏洞吗?
1个回答
0
投票
投票
Cookie对目标客户是私有的。这与socket.io或Google登录名没有什么不同。如果服务器想保护它们,则可以通过https运行连接,并且该连接是端到端加密的,并且客户端本身是唯一有权访问这些cookie的人。这是浏览器如何登录和标识先前已验证的客户端的方法。
而且socket.io会话ID也不必是机密。它没有任何授权。它只是将一个客户端标识为与以前的客户端相同。如果应用程序希望该客户端经过身份验证和安全保护,则需要以其他方式进行。没有任何与socket.io cookie关联的身份验证。
最新问题
- 使用 tkinter .after() 方法理解阻塞“递归”的执行流程
- Tomcat 10 上的 JSTL URI 异常
- 类型注释中未定义名称[重复]
- 错误:板条箱“sp_io”中存在重复的语言项目
- 如何将现有的React Native项目迁移到React Native TVOS
- 是否可以添加 MUI_LICENSEPAGE_TEXT_BOTTOM 的链接?
- 有没有使用普通霍夫曼编码[Python]的现代图像格式?
- 如何设置MySQL中BLOB列的最大大小?
- 如何修改亚马逊AWS EC2启动模板?
- 如何在 Java 中将 Stack<Integer> 转换为 int[]?
- Python tkinter 在运行时更改 OptionMenu
- 在 tron 网络中创建钱包并将所有余额发送到一个地址
- 使用 docker 机器初始化 docker swarm:超出了上下文截止日期
- 如何静态构建和链接LuaJIT(VS 2013)
- 配置文件设置 - VS Code
- 在 Excel 文件导入 R 期间,非 NA 值被替换为 NA
- 为什么我的样本分布输出相同的平均值?
- Microsoft Graph Api - 获取许可证详细信息
- 材料反应表。使用自定义输入字段进行编辑时的行为
- 在 Rayune 上使用 GPU 或 CPU
© www.soinside.com 2019 - 2024. All rights reserved.