安全测试中session和cookie
很多朋友做过安全测试应该都知道session和cookies他们的不同点:
1.存取方式不同。----cookie不支持中文,需要编码,仅支持ascll值。session能够存取任何类型的数据,包括java
2.隐私策略不同。----cookie存取在客户端阅读器中,对客户端是可见的,所以不安全。而session是存储在服务器上,通过加密的,安全的
3.有效期上的不同---coolie可以延续更长时间的保留以往登录的记录,而session就不能,加入设置session超长时间,那么服务器累计的session会更多,导致内存溢出
4.服务器压力不同----cookie是保管在客户端的,不占用服务器资源,所有并发用户再多也不受影响,而sessio是保管在服务器上,当并发数过多,可能导致内存溢出
5.浏览器支持不同-----cookie是需要客户端支持浏览器的,cookie是不能跨浏览器的,如果客户端不支持,则会话就会跟踪失败,而session本身就是在服务端上的,不会受影响
6.跨域支持上的不同----cookie是支持跨域名访问的,而session是不支持跨域名访问。
学而不思则罔,思而不学则殆