我正在使用 JavaScript 发送 session_id。 session_id 在页面源中可见,例如:
function startUpload(id){
var queryString = '&' + $('#new_doc_upload').serialize() + "&session_id=" + "01dfda2def225bae907b129d2ffb1";
$('#fileUpload').fileUploadSettings('scriptData',queryString);
$('#fileUpload').fileUploadStart();
}
session_id 可见是否可以,或者这可能是一个安全问题吗?
谢谢。
最佳答案
没关系。这可能并不理想,但是任何对破解您的 session 感兴趣的人都会在您可能放置它的其他位置(cookie 等)中查找它,因此您不会降低太多标准(如果有的话)。 (如果 cookie 不起作用,Java EE 的东西会将此作为后备,将 ;jsessionid=xxx 附加到每个 URL。)
重要的是确保 session 很难被劫持,无论黑客如何获得 session ID。 (通过将 session 绑定(bind)到源 IP 地址,并在服务器级别对每个请求进行检查,使用合理的超时和各种其他技术。)
关于php - Session_id 在页面源代码中可见,可以吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6660477/