Secure
# 文件路径权限访问
/var/web/../../etc/passwd非法路径访问
使用.normalize()将路径规范化用.startsWith("/var/web")判断是否合法
# 登录校验
| 特性 | Session 存储在后端 | Session 传输给前端 |
|---|---|---|
| 数据存储位置 | 后端(内存、数据库等) | 前端(localStorage、Cookie 等) |
| 安全性 | 高 | 低 |
| 扩展性 | 较差(需共享 Session 数据) | 好(无状态,适合分布式系统) |
| 实现复杂度 | 简单 | 复杂(需加密、签名等) |
| 传输方式 | 发送sessionId | 通过响应体或HTTP 头部发送session |
| 适用场景 | 传统 Web 应用 | 无状态服务、分布式系统 |
- 推荐将 Session 存储在后端,只传输
Session ID给前端(通过 Cookie)。这是最安全、最常用的方式。 - 如果需要无状态服务,可以考虑使用 JWT(JSON Web Token) 替代 Session,将用户信息直接编码到 Token 中,并传输给前端。JWT 适合分布式系统,但需要注意 Token 的安全性和有效期管理。
上次更新: 2025/4/5 11:34:42