[問題] FireFox 怎麼能儲存server端的Session?

看板Web_Design作者 (find something)時間16年前 (2009/10/16 09:41), 編輯推噓5(508)
留言13則, 5人參與, 最新討論串1/1
最近在做會員功能時,發現firefox會紀錄session的值. 因為我的會員登入資訊是使用session來紀錄,如果我沒有做登出的動作,而直接關閉 firefox,那在下次開啟firefox時,還是會處於已登入的狀態,就算是電腦重開也是一樣. 我另外也測試了YAHOO,也有這樣的情形. 上網查詢了一些資料,好像都說明了firefox本來就有存儲session的功能. 如這一個網頁說明:http://kb.mozillazine.org/Session_Restore 但讓我疑惑的是,session不是應該是儲存在server端的值嗎(如果我有誤解,請糾正)?為什 麼firefox可以儲存呢? 如果firefox可以儲存,那是不是有心人士也可以透過firefox儲存的session值,而取得網 站上會員的私人資料呢?如:密碼. 還是說,session本來就不應該用來儲存較私密的資訊呢? 我的firefox版本:3.0.14 請各位大大替我解惑丫~~ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.130.162.129
10/16 09:43, , 1F
session的原理是透過某個cookies來儲存session key
10/16 09:43, 1F
10/16 09:43, , 2F
只要有那組session key,Server就會判定你是哪一個session.
10/16 09:43, 2F
10/16 09:44, , 3F
了,通常會設定過期,只是Friefxo 某些套件把他保留了
10/16 09:44, 3F
10/16 11:22, , 4F
瀏覽器只存session key, 而session資料仍然只存在server端.
10/16 11:22, 4F
10/16 11:23, , 5F
這種機制只適用在私人電腦. 若用公用電腦忘了登出, 嘿嘿..下
10/16 11:23, 5F
10/16 11:23, , 6F
一個用那台公用電腦的人就有機會入侵前一個用戶的session.
10/16 11:23, 6F
10/16 18:47, , 7F
既然Client只存session key,那為何重開機後Session的值還是
10/16 18:47, 7F
10/16 18:47, , 8F
可以顯示出來呢?
10/16 18:47, 8F
10/16 19:13, , 9F
你要看server多久才會清掉沒在用的session阿
10/16 19:13, 9F
10/16 19:33, , 10F
因為KEY對了阿XD
10/16 19:33, 10F
10/17 12:53, , 11F
原來是server上的session還會存在的關係丫.謝謝~
10/17 12:53, 11F
10/17 12:55, , 12F
那通常session在server上的存活時間是多久呢?
10/17 12:55, 12F
10/17 15:14, , 13F
看不同的server設定不同吧...
10/17 15:14, 13F
更多 smsim 的文章
文章代碼(AID): #1AryzRZC (Web_Design)