作者freebug (Freebug)
看板PHP
標題[請益] 有辦法從客戶端設定Session的值嗎
時間Mon Apr 2 14:48:12 2018
請問駭客他們有辦法從客戶端設定Session的變數值嗎?
還是Session變數值必須由伺服器端的程式(PHP)設定才行?
例如有個Session變數叫$_SESSION['id']
駭客有辦法不經過後端程式PHP就直接設定$_SESSION['id']的值嗎?
謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.200.60.180
※ 文章網址: https://webptt.com/m.aspx?n=bbs/PHP/M.1522651694.A.424.html
1F:→ MOONRAKER: Session記在server上,前端無法設定或讀取 04/02 15:45
2F:→ MOONRAKER: 一般而言是安全的,除非碰到XSS 04/02 15:45
3F:→ MOONRAKER: 但即使XSS成功也不能直接從前端修改 04/02 15:46
4F:→ dinos: client的session id規則不要被猜到就好了 04/02 16:39
5F:推 l3161316: http-only設上去 他們就沒辦法從前端修改Cookie 04/02 19:25