熱點推薦:
您现在的位置: 電腦知識網 >> 編程 >> .NET編程 >> 正文

session和cookie的最深刻理解

2013-11-13 09:59:00  來源: .NET編程 
先說session

    對SESSION的爭論好象一直沒有停止過不過幺麽能理解SESSION的人應該占以上但還是講講別嫌老~

    有一些人贊成用SESSION有一些人不贊成但這個問題到底要怎麼說不妨聽聽我的看法如果有錯誤請不要朝丟東西金條和硬幣除外

    有些人應該知道我是做江湖程序的而江湖程序做看中的就是效率但這裡不談設計而從一些比較實際的角度看SESSION

    首先要先說SESSION是干什麼的SESSION是可以存儲針對與某一個用戶的IE以及通過其當前窗口打開的任何窗口具有針對性的用戶信息存儲機制為什麼要這樣說看下邊

    先研究SESSION是如何啟動的當打開IE以後浏覽網站後會發出一個指令請求SESSIONID以及對各個類型數據的下載許可如圖片聲音以及FLASH
數據實際傳輸內容IE到服務器
GET / HTTP/
Accept: image/gif image/xxbitmap image/jpeg image/pjpeg application/xshockwaveflash */*
AcceptLanguage: zhcn
AcceptEncoding: gzip deflate
UserAgent: Mozilla/ (compatible; MSIE ; Windows NT )
Host:
Connection: KeepAlive
    服務器會返回一個沒有被使用的SESSIONID讓IE使用當時IE就對返回SESSIONID做存儲並同時返回相關頁面的下載數據如下:服務器到IE
HTTP/ OK
Server: MicrosoftIIS/
Date: Sun Nov :: GMT
ContentLength: ContentType: text/html
SetCookie: ASPSESSIONIDCACBBBRT=IBOMFONAOJFEEBHBPIENJFFC; path=/
Cachecontrol: private
然後就是頁面HTML代碼

此時這個IE程序(不是客戶機)的SESSIONID就為IBOMFONAOJFEEBHBPIENJFFC

    而當IE在訪問任何這個站點的ASP程序的時候就會把IBOMFONAOJFEEBHBPIENJFFC發送給服務器服務器就會知道IBOMFONAOJFEEBHBPIENJFFC是表示你
而在服務器上設置SESSION(name)=name
完全可以看成是
SESSION(IBOMFONAOJFEEBHBPIENJFFC)(name)=name
或者
SESSION(SESSIONID)(name)=name
這樣SESSION就區分開用戶了
而當服務器反饋這個ID的時候會看這個ID有沒有被使用如果有在換一個
反正不會讓你重復如果想模擬某人的SESSION的ID來進行欺騙是可以的不過要獲取到對方IE傳輸信號並且在保證當時這個SESSIONID沒有被取消的情況下才可能實施

不過要是我有那時間直接通過POST信號找他NAME和PASS了我可不費這個勁

想必一些人明白了了SESSIONID到底是如何工作的

那麼就在看看COOKIE有人說SESSIONID就是COOKIE按照技術上來講他們不屬於同類

但是屬於一種工作模式用戶和服務器傳輸私有數據

    當我設置COOKIE的時候服務器會反饋給IE一個指令IE通過這個網絡指令生成COOKIE並存放在特定的時候會取得這個這個信息如在訪問這個站點並且COOKID有效的時候

那麼為什麼要用COOKIE而不用SESSION呢
看下區別

有效時間以及存儲方式 傳輸內容
COOKIE 可設置並在本地保留 明碼信息

SESSION 在IE不關閉並服務器不超時 只有SESSIONID

    當如果想讓用戶下次登入網站不需要輸入用戶名或者密碼的時候就只能用COOKIE因為他可以保留相當長的時間(在COOKIE記錄被刪除或者失效日期之前)而SESSION就不可以他不會保留太長時間而且IE在關閉後就自動清除了SESSIONID記錄

在下次登入的時候會請求新的SESSIONID

    而服務器想通過用戶個人變量校驗用戶的狀態的時候就不能用COOKIE如果用設置用戶權限是USER而IE訪問的時候就把USER的明碼傳輸到服務器

那麼如果我通過一定手段比如直接修改COOKIE記錄把USER修改成ADMIN呢~~

就麻煩了

但存儲用戶名和密碼或者網站的配色方案這樣的信息用COOKIE是最好的


有點累了在說說這個東西
RequestServerVariables(HTTP_REFERER)

我想有一些人通過這個RequestServerVariables(HTTP_REFERER)
來進行一些關鍵性限制特別是對付遠程提交以及非法侵入
那麼我就要提醒下服務器取得的HTTP_REFERER信息完全是IE傳輸給服務器的可以模擬
而且難度不大用不到半個小時就可以用VB做出一個針對HTTP_REFERER入侵程序
From:http://tw.wingwit.com/Article/program/net/201311/12192.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.