+设为首页 +添加到收藏夹
例如:假如我知道一个系统通过session("user_id")和session("user_class")来保存用户id和权限。那么我可否通过自己写的一个网页程序来保存我人为设定的session("user_id")和session("user_class")的值,然后不关闭浏览器的情况下输入另外一个URL,例如:http://www.csdn.net/expert/topic/788/788454.asp
session有被伪造的危险。但除非就是绝顶的高手。
本来嘛就没有绝对的安全存在。
不能,session是存储在服务端,不是在客户端的。如果可以你想的这样的话,那世界就大乱了
Q:例如:假如我知道一个系统通过session("user_id")和session("user_class")来保存用户id和权限。那么我可否通过自己写的一个网页程序来保存我人为设定的session("user_id")和session("user_class")的值,然后不关闭浏览器的情况下输入另外一个URL,例如:http://www.csdn.net/expert/topic/788/788454.asp(假设该页面是对session进行处理的页面)。此时,假如我构造的符合该页面的session,那么我伪造的session值能不能起作用?原来的页面是否能得到我伪造的session进行处理?
A:如果你的构造的页面和他的页面在同一服务器上运行就可以,所以popcode(紫枫 Plus) 说要反注册掉FSO组件,这样你就没有机会将你构造的页面上传到他的服务器上
