- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
session 变量
在所有网络应用程序中,您都可以获取/设置 session 的变量
PHP:
$foo = $_SESSION['myVar'];
.NET (MVC, in Controller):
using System.Web.Mvc;
// ...
var foo = Session["myVar"];
最佳答案
用途
创建 session 变量主要是为了处理 HTTP 协议(protocol)的无状态行为。因为每个页面请求都与其他页面请求完全分开处理,所以开发人员想要将请求字符串联系在一起的方法。一个典型的例子是一个登录页面,它对用户进行身份验证,然后在登录后更改请求的页面的行为。
为了帮助解决这个问题,许多语言和/或框架提供了 session 变量的概念,它可以让开发人员存储与特定浏览器相关联的数据,并在来自同一浏览器的不同请求中持续存在。
因此,以登录为例,在来自新浏览器的第一个请求中, session 变量将为空。然后用户将填写身份验证信息并假设它是正确的,在服务器端,代码将为该浏览器设置 session 变量以包含某种标识符,以表明他的浏览器已通过身份验证。然后在后续请求期间,代码可以检查 session 变量中的标识符以执行一些需要登录的特定代码。
另一个常见用例是“向导”工作流。您可能有一个多页表单,您希望用户填写多个单独的请求。当用户填写表单时,您可以将值添加到 session 中,直到用户到达表单的末尾,此时您可以将其保存在更永久的存储中。
存储和管理
有很多方法可以存储 session 变量。任何类型的跨请求持久的持久存储都可以工作。可能最基本的方法是为每个 session 创建一个单独的文件。 PHP 通过获取它作为 cookie 存储在浏览器中的 session ID 来执行此操作,然后查找具有从 session ID 派生的名称的文件。
您还可以将 session 变量存储在数据库、共享内存中,甚至 cookie 本身中。 Ruby on Rails 通过加密数据然后将 cookie 设置为加密数据来存储 session 变量。所以 session 被存储在用户的浏览器本身中。
最典型的是, session 变量与以某种方式存储在网络浏览器中的 cookie 相关联。此 cookie 通常由编写 Web 服务器应用程序的语言或框架自动管理。语言或框架检测新 session 并创建新的 session 变量,它通过某种 API 提供给 Web 服务器应用程序。然后 Web 服务器应用程序可以使用 API 将信息存储在 session 变量中,删除它,创建一个新的,等等......通常框架有一些 session 生命周期的默认值,但通常这可以通过API。我认为最典型的默认生命周期是浏览器进程通过 cookie 的生命周期,该 cookie 的生命周期与用户的浏览器进程相关联。
安全
session 变量存在很多安全问题,因为它们通常用于管理 Web 应用程序中的授权和身份验证。
例如,许多应用程序仅使用与 cookie 关联的生命周期来设置 session 生命周期。许多登录系统希望强制用户在指定时间后重新登录,但您不能相信浏览器会在您告诉它时使 cookie 过期。浏览器可能有问题,可能由恶意人员编写,或由用户自己操纵以调整 cookie 的生命周期。因此,如果您使用的 session 变量 API 依赖于 cookie 生存期,您可能需要有一个辅助机制来强制 session 变量过期,即使 cookie 没有过期。
其他一些安全问题涉及存储。如果您将 session ID 存储在 cookie 中,然后使用该 session ID 作为您的文件名来存储 session 变量,恶意浏览器可以将 cookie 中的 session ID 更改为另一个 ID,然后来自该浏览器的请求将开始使用一些其他浏览器的 session 文件。
另一个问题是 session 信息被盗。通过 XSS 或数据包检查, session 信息可以从用户浏览器 session 中窃取,然后被恶意用户用来访问其他用户的帐户。这类问题通常可以通过使用 SSL 来保护传输中的 session 来缓解。
This page解释了使用 PHP 的 session 变量实现时的许多安全问题。 Ruby on Rails 有 a similar page概述了该平台的 session 变量的安全问题。
关于http - session 变量 - 文档请求,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37300856/
我正在尝试从该网站抓取历史天气数据: http://www.hko.gov.hk/cis/dailyExtract_uc.htm?y=2016&m=1 在阅读了 AJAX 调用后,我发现请求数据的正确
我有两个 postman 请求 x,y,它们命中了两个不同的休息 api X,Y 中的端点。 x 会给我一个身份验证 token ,这是发出 y 请求所必需的。如何在请求 y 中发出请求 x ?也就是
我使用请求库通过 API 与其他服务器进行通信。但现在我需要同时发送多个(10 个或更多)POST 请求,并且只有在所有响应都正确的情况下才能进一步前进。通常语法看起来有点像这样: var optio
背景:当用户单击按钮时,其类会在class1和class2之间切换,并且此数据是通过 AJAX 提交。为了确认此数据已保存,服务器使用 js 进行响应(更新按钮 HTML)。 问题:如果用户点击按钮的
我正在将 Node.js 中的请求库用于 Google 的文本转语音 API。我想打印出正在发送的请求,如 python example . 这是我的代码: const request = requi
我经常使用requests。最近我发现还有一个 requests2 和即将到来的 requests3 虽然有一个 page其中简要提到了 requests3 中的内容,我一直无法确定 requests
我正在尝试将图像发送到我的 API,然后从中获取结果。例如,我使用发送一个 bmp 图像文件 file = {"img": open("img.bmp)} r = requests.post(url,
我发现 Google Cloud 确保移出其物理环境的任何请求都经过强制加密,请参阅(虚拟机到虚拟机标题下的第 6 页)this link Azure(和 AWS)是否遵循类似的程序?如果有人能给我指
我有一个 ASP.NET MVC 应用程序,我正在尝试在 javascript 函数中使用 jQuery 来创建一系列操作。该函数由三部分组成。 我想做的是:如果满足某些条件,那么我想执行同步 jQu
我找不到如何执行 get http 请求,所以我希望你们能帮助我。 这个想法是从外部url(例如 https://api.twitter.com/1.1/search/tweets.json?q=tw
我的应用只需要使用“READ_SMS”权限。我的问题是,在 Android 6.0 上,当我需要使用新的权限系统时,它会要求用户“发送和查看短信”。 这是我的代码: ActivityCompat.re
我的前端代码: { this.searchInput = input; }}/> 搜索 // search method: const baseUrl = 'http://localho
我有一个由 AJAX 和 C# 应用程序使用的 WCF 服务, 我需要通过 HTTP 请求 header 发送一个参数。 在我的 AJAX 上,我添加了以下内容并且它有效: $.ajax({
我正在尝试了解如何使用 promises 编写代码。请检查我的代码。这样对吗? Node.js + 请求: request(url, function (error, response, body)
如果失败(除 HTTP 200 之外的任何响应代码),我需要重试发送 GWT RPC 请求。原因很复杂,所以我不会详细说明。到目前为止,我在同一个地方处理所有请求响应,如下所示: // We
当用户单击提交按钮时,我希望提交表单。然而,就在这种情况发生之前,我希望弹出一个窗口并让他们填写一些数据。一旦他们执行此操作并关闭该子窗口,我希望发出 POST 请求。 这可能吗?如果可能的话如何?我
像 Facebook 这样的网站使用“延迟”加载 js。当你必须考虑到我有一台服务器,流量很大时。 我很感兴趣 - 哪一个更好? 当我一次执行更多 HTTP 请求时 - 页面加载速度较慢(由于限制(一
Servlet 容器是否创建 ServletRequest 和 Response 对象或 Http 对象?如果是ServletRequest,谁在调用服务方法之前将其转换为HttpServletReq
这是维基百科文章的摘录: In contrast to the GET request method where only a URL and headers are sent to the serv
我有一个循环,每次循环时都会发出 HTTP post 请求。 for(let i = 1; i console.log("succes at " + i), error => con
我是一名优秀的程序员,十分优秀!