[請益] 有辦法從客戶端設定Session的值嗎

作者freebug (Freebug)

看板PHP

標題[請益] 有辦法從客戶端設定Session的值嗎

時間Mon Apr 2 14:48:12 2018

請問駭客他們有辦法從客戶端設定Session的變數值嗎？還是Session變數值必須由伺服器端的程式(PHP)設定才行？例如有個Session變數叫$_SESSION['id'] 駭客有辦法不經過後端程式PHP就直接設定$_SESSION['id']的值嗎？謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.200.60.180 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1522651694.A.424.html

→ MOONRAKER: Session記在server上，前端無法設定或讀取 04/02 15:45

→ MOONRAKER: 一般而言是安全的，除非碰到XSS 04/02 15:45

→ MOONRAKER: 但即使XSS成功也不能直接從前端修改 04/02 15:46

→ dinos: client的session id規則不要被猜到就好了 04/02 16:39

推 l3161316: http-only設上去他們就沒辦法從前端修改Cookie 04/02 19:25