作者freebug (Freebug)
看板PHP
标题[请益] 有办法从客户端设定Session的值吗
时间Mon Apr 2 14:48:12 2018
请问骇客他们有办法从客户端设定Session的变数值吗?
还是Session变数值必须由伺服器端的程式(PHP)设定才行?
例如有个Session变数叫$_SESSION['id']
骇客有办法不经过後端程式PHP就直接设定$_SESSION['id']的值吗?
谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.200.60.180
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1522651694.A.424.html
1F:→ MOONRAKER: Session记在server上,前端无法设定或读取 04/02 15:45
2F:→ MOONRAKER: 一般而言是安全的,除非碰到XSS 04/02 15:45
3F:→ MOONRAKER: 但即使XSS成功也不能直接从前端修改 04/02 15:46
4F:→ dinos: client的session id规则不要被猜到就好了 04/02 16:39
5F:推 l3161316: http-only设上去 他们就没办法从前端修改Cookie 04/02 19:25