Pythonを学び始める フラスコ Webアプリのフレームワークは、まだ習熟段階にあります。
安全なWebアプリケーションの目的のために、クライアントサイドのセッションはどの程度適切なのでしょうか。それが思われることから、いくつかの深刻な懸念があります。
- すべてのセッション変数はシリアル化されているのでHTTPデータのサイズを適切なサイズで往復させるために、クッキーにエンコードされているデータの量に注意する必要があります。
- 同一のキー/値セットがあるかどうかわかりません同じシリアル化された値ですが、あるセッションでcookie値を取得して格納すると、別のセッションで暗号化された値であるにもかかわらず同じ値を入力し、それらを本物のセッション変数値と見なすことはできません。 ?あるユーザーが1日に許可されるのは、同じことが別の日に許可されるということではありません。また、これらのセッション変数値を常に安全に保護する必要がある場合それから、それらは私たちにきれいなGET URLを使わせることよりももう少し目的を果たします(すなわち、いくつかのパラメータを持つ醜いクエリ文字列の代わりに)
だから、おそらく私が探している答えは、Flaskクライアントサイドセッションの制限、中間者攻撃の可能性(もちろん、安全ではないhttpセッションの場合)、または後でリレーするためにcookieの値を保存する悪意のある上級ユーザーを考慮してください。
回答:
回答№1は1とにかく、クッキーが4KBを超えるデータを保存することはできないので、サイズを心配する必要はありません。私はあなたがそれに近くどこでも簡単に手に入れることができるだろうことを非常に疑います。
これは他のセッションと同じくらい安全です。
PHPSESSID他のブラウザにCookieを送信し、これを使用して実行できるのと同じように機能させます。それを妨げるものは何もありません。ただし、この問題には回避策があります。制限時間が過ぎると期限切れになる可能性があります。見る この質問 例えば。この問題に関して役に立つ回答があります。
いつでも使えます データベースセッション あなたがそう望むなら。他にもあなたが見つけることができる実装があると確信しています。
編集: ここに 他にもあります。