php 手机端cookie禁用,Cookie 禁用了,Session 还能用吗?

最新推荐文章于 2023-02-23 11:22:45 发布
最新推荐文章于 2023-02-23 11:22:45 发布
阅读量175 收藏
点赞数
文章标签: php 手机端cookie禁用

在默认的JSP、PHP配置中,SessionID是需要存储在Cookie中的,默认Cookie名为:PHPSESSIONID

JSESSIONID

以下以PHP为例:你第一次访问网站时,

服务端脚本中开启了Sessionsession_start();,

服务器会生成一个不重复的 SESSIONID 的文件session_id();,比如在/var/lib/php/session目录

并将返回(Response)如下的HTTP头 Set-Cookie:PHPSESSIONID=xxxxxxx

客户端接收到Set-Cookie的头,将PHPSESSIONID写入cookie

当你第二次访问页面时,所有Cookie会附带的请求头(Request)发送给服务器端

服务器识别PHPSESSIONID这个cookie,然后去session目录查找对应session文件,

找到这个session文件后,检查是否过期,如果没有过期,去读取Session文件中的配置;如果已经过期,清空其中的配置

如果客户端禁用了Cookie,那PHPSESSIONID都无法写入客户端,Session还能用?

答案显而易见:不能

并且服务端因为没有得到PHPSESSIONID的cookie,会不停的生成session_id文件

取巧传递session_id

但是这难不倒服务端程序,聪明的程序员想到,如果一个Cookie都没接收到,基本上可以预判客户端禁用了Cookie,那将session_id附带在每个网址后面(包括POST),

比如:GET http://www.xx.com/index.php?session_id=xxxxx

POST http://www.xx.com/post.php?session_id=xxxxx

然后在每个页面的开头使用session_id($_GET['session_id']),来强制指定当前session_id

这样,答案就变成了:能聪明的你肯定想到,那将这个网站发送给别人,那么他将会以你的身份登录并做所有的事情

(目前很多订阅公众号就将openid附带在网址后面,这是同样的漏洞)。

其实不仅仅如此,cookie也可以被盗用,比如XSS注入,通过XSS漏洞获取大量的Cookie,也就是控制了大量的用户,腾讯有专门的XSS漏洞扫描机制,因为大量的QQ盗用,发广告就是因为XSS漏洞

所以Laravel等框架中,内部实现了Session的所有逻辑,并将PHPSESSIONID设置为httponly并加密,这样,前端JS就无法读取和修改这些敏感信息,降低了被盗用的风险。

Cookie在现代

禁用Cookie是 IE6 那个年代的事情,现在的网站都非常的依赖Cookie,禁用Cookie会造成大量的麻烦。在Flash还流行的年代,Flash在提交数据会经常出现用户无法找到的情况,其实是因为Flash在IE下是独立的程序,无法得到IE下的Cookie。

所以在Flash的flash_var中,一般都会指定当前的session_id,让Flash提交数据的时候,将这个session_id附带着提交过去

Chrome中使用 Flash沙箱 已经解决了cookie的问题,但是为了兼容IE,比如swfupload等flash程序都要求开发者附带一个session_id

策划98k
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php禁用cookiesession设置方法分析
10-21
如果希望在浏览器禁用Cookie时仍能使用Session,应将其设置为0。 要实现“在开启Cookie时用基于Cookie的方式,在未开启时使用URL的方式”,可以这样配置: ```ini session.use_trans_sid=1 session.use_only_...
java中Cookie禁用Session追踪问题
08-31
Java 中 Cookie禁用Session...Java 中 Cookie禁用Session 追踪问题可以通过使用 encodeURL 或 encodeRedirectURL 方法来解决,这些方法可以确保服务器可以获取 JSESSIONID 信息,从而实现 Session 追踪。
Cookie禁用Session还可以用吗?
weixin_34357267的博客
08-29 108
CookieSession一般认为是两个独立的东西,Session采用的是在服务器保持状态的方案,而Cookie采用的是在客户保持状态的方案。Cookie分为两种,一种可以叫做session cookie,浏览器关闭就会丢失,一种可以...CookieSession,一般认为是两个独立的东西,Session采用的是在服务器保持状态的方案,而Cookie采用的是在客户...
Cookie禁用了,Session还能用吗?
Just Code
12-22 282
CookieSession,一般认为是两个独立的东西,Session采用的是在服务器保持状态的方案,而Cookie采用的是在客户保持状态的方案。 Cookie分为两种,一种可以叫做session cookie,浏览器关闭就会丢失,一种可以叫做persistent cookie,就是我们通常意义上所说的cookie,通常服务器session是借助于seesion cookie来和客户...
php 手机cookie禁用,PHP客户禁用cookie怎么使用session
weixin_39781323的博客
04-01 73
PHP客户禁用cookie如何使用session第一种方式:在每个超链接上添加一个PHPSESSID=$sid//防止返回初始页产生新的sessionif(isset($_GET["PHPSESSID"])){session_id($_GET["PHPSESSID"]);}//启动一个sessionsession_start();//获取当前sessionsession_id()$sid=se...
php 客户禁用cookie,PHP:客戶禁用cookie之后如何使用session
weixin_39616693的博客
03-23 61
在服務器,要使用session,最本質的問題是要能夠在服務器拿到session的ID。通常情況下,在開啟了session的頁面中,即使用了session_start()的頁面,首次訪問的時候,會產生一個新的session,並有一個與之對應的sessionID,服務器會將這個sessionID通過http響應頭部的set-cookie字段返回給客戶(瀏覽器),瀏覽器會將其保存在cookie中。...
php session浏览器禁用cookie后怎么使用
laiyijian的博客
02-28 450
其实在浏览器禁用cookiephpsession还是可以使用的 只是变得不安全了,下边说下怎么使用,php7.2 session1.php <?php //只需要这三个配置设置下就可以了,不明白的可以看下文档 ini_set("session.use_trans_sid",1); ini_set("session.use_only_cookies",0); ini_set("session.use_cookies",0); session_start(); $_SESSION['sd'] =
php sessioncookie使用说明
12-18
- Session依赖于Cookie(默认情况下),若用户禁用CookieSession可能无法正常工作。 - 为确保Session安全,应定期清理Session垃圾,避免过多的Session数据占用服务器资源。 总结,CookieSession都是PHP中管理...
PHP禁用cookie如何使用url传递session id
07-07
PHP禁用cookie如何使用url传递session id
php浏览器禁用cookie,PHP中浏览器禁用COOKIESESSION的安全使用方法
weixin_34464974的博客
03-10 206
如果浏览器禁用COOKIE,这在服务器启动回话的时候,无法将session id设置到客户COOKIE,然后用户切换页面的时候就无法将session id通过header头传回服务器,所以访问另外一个页面的时候,服务器重新分配seesion id,造成跟踪用户信息失败,无法在页面间传递用户信息。解决办法:方法一:PHP4.2以上版本,且在linux服务器环境下,通过配置php.ini中的enab...
浏览器禁用cookiesession还能用吗?cookiesession区别
Hi,appmy.cn!
02-18 4054
答:浏览器禁用cookiesession不能正常使用。 cookie是一种客户的会话技术,它是服务器存放在浏览器的一小份数据,浏览器以后每次访问该服务器的时候都会将这小份数据携带到服务器去。 session是服务器的技术。服务器为每一个浏览器开辟一块内存空间,即session对象。由于session对象是每一个浏览器特有的,所以用户的记录可以存放在session对象中。 cookie存储在用户浏览器、session存储在web服务器。理论上cookie存储删除完全由用户控制,session存储删
如果客户cookie 能实现 session 还能用吗
weixin_66108666的博客
02-23 858
笔记
手机浏览器无法获取COOKIE的原因
蜗牛的专栏
02-02 1万+
手机浏览器上无法使用cookie,肯能是 1. 浏览器禁用 COOKIE ,这个简单开启即可。 2. 可能是手机所在时区有问题,将COOKIE有效期设置更长时间测试下,在更改时区
关于在android中禁用cookie
adairfly的专栏
05-15 3420
系统内置的浏览器通常都有禁用cookie的功能,其实是调用CookieManager.java(frameworks/base/core/java/android/webkit/CookieManager.java)的setAcceptCookie方法设置WebCookieJar.cpp(webkit\source\webkit\android\webcoresupport/WebCookieJa
关于禁用Cookie的问题以及解决办法
热门推荐
C.
09-10 3万+
CookieSession,一般认为是两个独立的东西,Session采用的是在服务器保持状态的方案,而Cookie采用的是在客户保持状态的方案。但为什么禁用Cookie就不能得到Session呢?因为Session是用Session ID来确定当前对话所对应的服务器Session,而Session ID是通过Cookie来传递的,禁用Cookie相当于失去了Session ID,也就得不到S
浏览器禁用cookie后,如何使用session 或者 保持登录状态?
Future1994的博客
12-13 6309
1、URL重写 2、表单隐藏字段。 sessionid是存储在cookie中的,解决方案如下: Session URL重写,保证在客户禁用或不支持COOKIE时,仍然可以使用Session session机制。session机制是一种服务器的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。 当程序需要为某个客户的请求创建一个session时,服务器首先检查这个客户的请求里是否已包含了一个session标识(称为session id),如果已包含
CookieSession 的区别,cookie禁用session是否还可以被使用?
YiFeng_888的博客
11-25 4242
什么是Cookie,什么是cookie会话机制?cookiesession的区别(这里写自定义目录标题) cookie的内容主要包括:名字,值,过期时间,路径和域。路径与域一起构成cookie的作用范围。 若不设置过期时间,则表示这个cookie的生命期为浏览器会话期间,关闭浏览器窗口,cookie就消失。这段期间,被称为会话cookie。会话cookie一般不存储在硬盘上而是保存在内存里,...
cookie禁用session还能使用吗
最新发布
05-26
Session 机制是一种在服务器存储用户数据的方法,它不依赖于客户(浏览器)的 Cookie。因此,即使用户禁用CookieSession 仍然可以正常使用。但是,如果用户禁用了浏览器中的所有会话存储,包括 Cookies 和 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值