[英]Can Someone Destroy Sessions From The Browser?
基本上,我有一个脚本,该脚本将计算执行某项操作失败的尝试次数。 如果数字大于5,我将阻止IP Address 15分钟。
问题是,第一次尝试失败后,计数器将等于1,然后等于2 .. 5
某人是否可以从其计算机中销毁已保存在浏览器中的所有会话? 我说的是$_SESSION不是COOKIES
如果是,我将尝试考虑更改会话计数的方式,并将值存储在本地文件中。
有人可以破坏浏览器中的会话吗?
不。会话是服务器端的结构。 会话未存储在浏览器中。
但是,HTTP是一种无状态协议,这意味着客户端必须在每次发出请求时标识自己,才能与其会话相关联。 通常,这是使用Cookie完成的。
用户可以删除或修改他们的cookie,因此,对抗性客户端每次查询您的服务器时都完全有可能获得“新鲜”会话。 通常, 没有防攻击的方法可以执行您想要的操作!
例如,这就是为什么Stack Exchange要求用户登录后才允许他们投票的原因。 否则,他们可以仅通过删除cookie,更改IP地址等来投多个票。SE设计师确实不希望您这样做。 但是,要求用户帐户仍然不是安全的,因为您可以创建多个帐户!
当然,您几乎不是第一个遇到此问题的人:
如果用户关闭浏览器窗口或浏览php中的页面,如何销毁会话?
[英]How can I destroy sessions if user closes the browser window or navigates away from page in php?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
