不是敏感内容不需要长期保存，是使用cookie还是session？

404

匿名用户 发表于 2012-11-22 22:43
放到url参数。。。让不支持cookie的用户保存书签。

通过url传递session key高危

joyanhui

onlybird 发表于 2012-11-23 12:46
晕死了 用session吧....占不了你多少资源的

啊，真的吗？我以为会非常消耗资源呢。
谢谢鸟哥

匿名用户

404 发表于 2012-11-23 12:48
通过url传递session key高危

肯定先加密。。比如md5

joyanhui

匿名用户 发表于 2012-11-23 12:58
肯定先加密。。比如md5

我觉得还是你之前说的 先判断一下是否支持cookie 不支持再用session的方法比较好。

url传递 虽然我的内容不敏感，但是 太麻烦了，牵扯的改动太多。

404

匿名用户 发表于 2012-11-22 22:58
肯定先加密。。比如md5

没用, 如果hostloc是通过url参数传递session key的话， 我这里挂个链接， 你点一下， 我就能从日志里拿到你的get参数，也能拿到你的user-agent一些私有信息， 伪造登录一点问题也没有

404

joyanhui 发表于 2012-11-22 23:00
我觉得还是你之前说的 先判断一下是否支持cookie 不支持再用session的方法比较好。

url传递 虽然我的内 ...

还是那句， session依赖cookie , 你这二选一是伪命题