cookie与session测试关注点

最近测试的一个任务涉及到登录功能，登录的话势必要关注到cookie和session（简单介绍见文章：https://www.cnblogs.com/daydayup-lin/articles/12149872.html）

测试之前我们还是要找开发了解下具体的实现方案，做针对性的测试。

 

以下是我自己总结的cookie和session测试的注意点，在了解到开发实现方案之后，可下面内容来参考设计测试点：

1、登录成功后，服务端是否生成有效的session?session信息是如何存储的？

2、服务端是否对session设置了过期时间？一种是不管是否进行会话，到了设置的固定时间都会过期；一种是多长时间不进行会话，session就会过期。

3、退出登录，服务端应该清除或者无效session

4、每一次会话服务端都需要验证session信息的有效性

5、客户端cookie是否设置了过期时间？（如何不设置过期时间，关闭浏览器就会清除cookie;如果设置了过期时间，到固定时间才会过期）

6、退出登录时，客户端是否清除了cookie

7、cookie中的是否有敏感信息？或者敏感信息是否加密？

8、HttpOnly设置为true（防止cookie值被页面脚本读取）

9、设置Secure为true（保证cookie与WEB服务器之间的数据传输过程加密）

10、是否需要考虑客户端禁用cookie的情况？

11、session和cookie需要考虑同一用户同一时间只支持单用户操作？

 

如有补充，欢迎留言或者私信交流~