我开始学习NodeJS并在服务器上的会话中写我想登录的页面,并保留有关已登录用户的信息。
会话数据也可用于WebSocket。有了这个,我没有问题(登录并将数据传输到WebSocket),但是我对一件事感到惊讶。
var express = require('express');
var session = require('express-session');
var app = express();
app.use(session({
secret: 'xxxxxxxxxxxxxxx',
name: 'sessionNazwa',
resave: false,
saveUninitialized: true,
cookie: {
maxAge: 24 * 60 * 60 * 1000,
httpOnly: true
}
}));
进入站点后,出现cookie'sessionName',并分配了会话号。登录网站后,我可以看到该用户已登录。 问题是,当我从cookie中复制会话号并在其他浏览器中将其替换为会话号时,所有“登录”数据都将传输到其他浏览器。那就是移动环节。
将会话从此cookie中移出的事实对我来说并不奇怪,但令我惊讶的是,“ express-session”模块未检测到cookie会话编号的复制,并且不会更改标识符。我记得在2 PHP中,当会话号更改时,服务器生成了一个新的标识符。
为什么在“ express-session”模块中,如果更改了会话号,则不会生成会话号,而是将其替换为新的会话号?如何进一步保护自己?