开始学习PythonFlaskWeb 应用程序框架,仍在学习曲线上,所以请耐心等待。
我想知道客户端会话对于安全 Web 应用程序的目的有多合适。从表面上看,存在一些严重的担忧:
- 由于所有会话变量都被序列化并编码在 cookie 中,因此应该注意它们存储的数据量,以便将来回传输的 http 数据的大小保持在合理的范围内。
- 我不确定相同的键/值集是否具有相同的序列化值,但如果我在一个会话中获取并存储 cookie 值,我不能在另一个会话中将相同的(尽管已加密)值返回到另一个会话中吗,并使服务器相信这些是真正的会话变量值?用户在某一天被允许做的事情并不意味着在另一天也可以做同样的事情。如果这些会话变量值必须始终受到安全保护,那么将它们保留在“缓存中”有什么好处呢?然后,它们的作用只不过是让我们使用漂亮的 GET URL(即,而不是带有一些参数的丑陋查询字符串)
所以,也许我正在寻找的答案是 Flask 客户端会话的限制,考虑到可能的中间人攻击(当然是针对非安全的 http 会话)或存储 cookie 值的高级恶意用户以便稍后转发它们。
您始终可以使用数据库会话如果你愿意的话。我确信您还可以找到其他实现。
Edit: Here还有其他一些。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)