以下关于cookie与session管理的说法正确的是()
A.直接关闭浏览器退出系统会导致未自动销毁的session被恶意利用
B.登录和退出时需要更新session标识
C.在用户的要求下cookie可以明文存储用户名和密码
D.使用session.removeAttribute()方法可以使session销毁,以此防御会话固定攻击
ABCD
解析:直接关闭浏览器“退出”系统会导致未自动销毁的SESSION被恶意利用登录和退出时需要更新SESSION标识
A.直接关闭浏览器退出系统会导致未自动销毁的session被恶意利用
B.登录和退出时需要更新session标识
C.在用户的要求下cookie可以明文存储用户名和密码
D.使用session.removeAttribute()方法可以使session销毁,以此防御会话固定攻击
ABCD
解析:直接关闭浏览器“退出”系统会导致未自动销毁的SESSION被恶意利用登录和退出时需要更新SESSION标识
A.cookie数据存放在客户的浏览器上,session数据放在服务器上。
B.cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗考虑到安全应当使用session。
C.session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能考虑到减轻服务器性能方面,应当使用COOKIE。
D.cookie保存的数据容量大于session
A.只要将cookie设置为httponly属性,脚本语言,就无法再盗取cookie内容了
B.cookie可以通过脚本语言,轻松从客户端读取
C.针对cookie的攻击,攻击者往往结合XSS,盗取cookie,获得敏感信息或进行重放攻击
D.cookie往往用来设计存储用户的认证凭证信息,因此cookie的安全,关系到认证的安全问题。
A.所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程
B.http会话重放攻击,最重要的是盗取到认证凭证信息,例如cookie信息
C.cookie常用来存储认证凭证信息,因此需要对cookie信息进行高强度加密,就可以有效预防http重放攻击
D.session的时效性,相比cookie能更好防御重放攻击
A.ASP.NETMVC依赖于HttpHandler,关于请求是怎么进入控制器的,其实就是用到了HttpHandler
B.Session,Cookie,Cache和Application这些ASP.NET的对象保存机制在MVC中依然是需要用到的
C.HttpContext,Request,Response,Server对象在MVC中仍然可以使用,在Controller中通过智能感知的形式很容易得到这些对象
D.ASP.NET是在核心ASP.NETMVC基础之上构建的