使用CodeIgniter 3 Session类库

yuzhigang5460

gogogo1027 发表于 2015-8-18 20:42
CI2的时候Session会因为ajax而改变信息，瞄了下CI3取消了ajax请求时刷新session的操作。我这边的后台登录信 ...

这个坑我以前也遇到过，的确是个坑。用uploadify的 flash时会被烦死。 CI2开启CSRF也会遇到这个问题。

reduco

gogogo1027 发表于 2015-8-18 20:42
CI2的时候Session会因为ajax而改变信息，瞄了下CI3取消了ajax请求时刷新session的操作。我这边的后台登录信 ...

怎么做的，求指导  qq  155442829，谢谢

gogogo1027

CI的Session类的安全问题我觉得作者多虑了,首先是可以选择混淆加密cookie,其次可以换一种方式,CI是提供了可以使用数据库来存储session的值,而cookie所保存的知识session库里的session_id,就算cookie被解出了,也只是一个ID,真正的值是存储在服务端的.

yuzhigang5460

gogogo1027 发表于 2016-10-25 18:29
CI的Session类的安全问题我觉得作者多虑了,首先是可以选择混淆加密cookie,其次可以换一种方式,CI是提供了可 ...

这篇文章就是在讲怎么加密cookie的。作为一个框架，总得有多种Session的存储方案。

除此之外，
你听过CSRF吗？

我不知道偷窃来的cookie到底是什么，但是我知道能通过它得到什么。

gogogo1027

CSRF你可以百度查处它的含义,但是具体实践上,需要个人理解,我理解的防止跨站调用,比如你登录了网银或支付宝,浏览器存储了你的登录状态,如果有木马或者程序获取到这个值,带着这个cookie冒充用户直接发送一个支付请求,如果服务端没有开启防护,则会认为是本人操作,实际上就被钻了漏洞.