浏览器每次访问已经访问过的了页面的时候,http头会把原来网页设置的cookie里面存的信息加载进去发给服务器。
倘若浏览器的cookie信息没有过期,而且在服务器这端session也没有过期,那么被加载进去的cookie中存在sessionID,那验证不就是通过了么?
我想知道PHP里面的session_start()是如何处理以Ctrl+N或Shit+点击链接方式打开的IE窗口与双击桌面上的ie图标打开的IE窗口的判定的。就是他怎么知道那个页面的打开是哪种方式!
倘若浏览器的cookie信息没有过期,而且在服务器这端session也没有过期,那么被加载进去的cookie中存在sessionID,那验证不就是通过了么?
我想知道PHP里面的session_start()是如何处理以Ctrl+N或Shit+点击链接方式打开的IE窗口与双击桌面上的ie图标打开的IE窗口的判定的。就是他怎么知道那个页面的打开是哪种方式!
倘若浏览器的cookie信息没有过期,而且在服务器这端session也没有过期,那么被加载进去的cookie中存在sessionID,那验证不就是通过了么?这个应该没问题的吧,如果浏览器不关闭的情况下你还要强制SESSION失效,或者说强制验证,那么你不是每打开一个页面都要登陆一次?
然后你的cookie未过期,并且服务器端的sessionid也未过期,则你再打开同样的地址,还是登陆状态
可以用于伪造session
服务器这边能做么?