Tag: 会话

上游太大了 – nginx + codeigniter

我从Nginx得到这个错误,但似乎无法弄清楚! 我正在使用codeigniter,并使用会话的数据库。 所以我想知道标题怎么会变得太大。 无论如何检查标题是什么? 或者可能看到我能做些什么来解决这个错误? 让我知道如果你需要我提出任何conf文件或任何,我会更新你请求他们 2012/12/15 11:51:39 [error] 2007#0: *5778 upstream sent too big header while reading response header from upstream, client: 24.63.77.149, server: jdobres.xxxx.com, request: "POST /main/login HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "jdobres.xxxxx.com", referrer: "http://jdobres.xxxx.com/" UPDATE 我在conf中添加了以下内容: proxy_buffer_size 512k; proxy_buffers 4 512k; proxy_busy_buffers_size 512k; 而现在我仍然得到以下几点: 2012/12/16 12:40:27 [error] 31235#0: *929 upstream sent too big […]

ASP.NET从Session中删除一个项目?

哪种方法是首选? Session.Remove("foo"); Session["foo"] = null; 有区别吗?

Rails 3 session_store域是什么?真的吗?

更新的问题,使其更清楚 我知道你可以设置你的session_store域来共享这样的子域之间的会话: Rails.application.config.session_store :cookie_store, :key => '_my_key', :domain => "mydomain.com" 在Rails 3中,设置是什么:domain => :all可以吗? 它不能让你分享跨顶级域名的会话,cookies不能这样做。 该文件说,它假设一个顶级域名。 那么如果多个域访问您的应用程序会发生什么 在我的应用程序中,我的用户可以创build一个主域的个人子域,但也可以通过他们自己的自定义域访问该子域。 什么是正确的session_store域设置,以便我可以:a)跨主域的所有域共享会话,例如“mydomain.com”b)通过CNAME自定义访问其个人子域的用户,例如“user1.mydomain.com”像“some.otherdomain.com”url仍然可以创build单独的会话。 谢谢

防止会话劫持

如何防止多个客户端使用相同的会话ID? 我问这是因为我想添加一个额外的安全层来防止会话劫持在我的网站上。 如果黑客以某种方式计算出另一个用户的会话ID,并使用该SID发出请求,如何检测到在服务器上共享单个SID的不同客户端,然后拒绝劫持尝试? 编辑 我经过仔细考虑,已经接受了Gumbo的回答,因为我已经意识到由于无状态HTTP协议的限制,我所要求的是不可能的。 我忘了HTTP也许是最基本的原则,现在我想这个问题似乎有些微不足道。 让我详细说明我的意思: 用户A在example.com上login后,为了简单起见,他给了一些随机的会话ID,让它成为'abc123'。 此会话ID在客户端以cookie的forms存储,并通过服务器端会话进行validation,以确保login的用户在从一个网页移动到另一个网页时保持login状态。 如果HTTP不是无状态的,那么这个cookie当然不需要存在。 因此,如果用户B窃取用户A的SID,并在他的计算机上创build一个值为“abc123”的cookie,他将成功劫持用户A的会话,但服务器根本无法合法识别用户B请求与用户A的请求有任何不同,因此服务器没有理由拒绝任何请求。 即使我们要列出在服务器上已经激活的会话,并尝试查看是否有人正在访问已经处于活动状态的会话,我们如何确定是另一个非法访问会话的用户而不是同一个用户谁已经login了一个会话ID,但只是试图做出另一个请求(即导航到不同的网页)。 我们不能。 检查用户代理? 可以欺骗 – 但作为深度防御措施仍然是好的。 IP地址? 可以根据正当的理由进行更改,但是我build议不要检查IP地址,而应该检查IP的前两个八位字节,即使数据规划networking中的用户因为完全合法的原因而经常有不断变化的IP通常只有IP的最后两个八位字节发生变化。 总而言之,无状态HTTP谴责我们永远无法完全保护我们的网站免遭会话劫持,但良好的做法(如Gumbo提供的)将足以防止绝大多数的会话攻击。 试图通过拒绝同一个SID的多个请求来保护会话免受劫持是简单的可笑的,并且会破坏会话的整个目的。

用户login后,Laravel 5会话不会持续

我在Laravel 5上遇到一个有趣的问题。 login用户后,login状态不会在页面间持续存在。 显然它与Session:: 。 我login用户的方式非常简单: if (Auth::attempt(['email' => $data['email'], 'password' => $data['password']], isset($data['remember_me']) ? TRUE : FALSE)) { return redirect()->intended('/'); } 一个简单的print_r(Session::all()); 如果用户未login,则向我提供以下信息: Array ( [_token] => wV8o75lZnCZ0f6CMMQgdBBM2AxSYjtWisAXx6TgZ [flash] => Array ( [old] => Array ( ) [new] => Array ( ) ) [_previous] => Array ( [url] => http://localhost/public ) ) 用户login后redirect到/数组看起来像这样: Array […]

有没有一种简单的方法可以使会话在烧瓶中超时?

我正在build立一个网站,用户有帐户,并能够login瓶。 我正在使用flask-principal进行部分日志logging和angular色pipe理。 说5分钟或10分钟后,用户的会话是否有效? 我无法在烧瓶文档或flask-principal的文档中find它。 我想到了一个手动的方法,在login的时候用一个时间标记设置一个可变的服务器端,并在用户下一个操作时,服务器validation该时间戳上的时间差,并删除会话。

Cookie与会话与CookieStore

在Rails 3中,将数据存储在Cookie中并将数据存储在会话中与将会话存储设置为CookieStore的默认值之间有什么区别? 例如 cookie[:foo] = 'bar' # MyApp::Application.config.session_store :cookie_store, key: '_myapp_session' session[:foo] = 'bar' 据我所知,最终都存储在一个客户端cookie中。 你什么时候select使用一个呢? 谢谢。

如何pipe理与AFNetworking的会话?

正如标题所暗示的,我在一个iOS项目中使用AFNetworking,在这个项目中,应用程序与服务器进行通信。 当用户login时,服务器通过发回成功标志来响应,并且响应标头包含会话标识。 我想知道是否AFNetworking会自动发送会话ID与每一个后续的请求,或者我应该照顾这个自己在某种程度上? 对于您的信息,我无法控制后端如何validation请求。 我只是build立一个与服务器交谈的客户端。

为什么设置一个JSP页面session =“false”指令?

我想知道什么时候你想在JSP中设置下面的页面指令: <%@ page session="false" %> 我知道它阻止了会话对象的创build,但是什么时候需要这样做呢? 当JSP不需要访问隐式会话时,是否被认为是最佳实践? 注 : 我之所以问,是因为这是在这个Spring MVC教程,我假设springource人们知道他们的东西 – http://blog.springsource.com/2011/01/04/green-beans-getting-started -with -弹簧- MVC /

cachingVS会话VS Cookie?

什么是做什么和不该做什么关于cachingVS会话VS Cookie? 例如: 我使用会话variables很多,有时在预订应用程序时遇到问题,当用户开始订购产品,然后去午餐,几个小时后回来继续预订。 我在会话中存储预订,直到用户确认或中止预订,所以当用户只需单击浏览器中的X并且不再返回时,我不需要与数据库交谈并处理数据库中的中途预订。 我是否应该使用caching或cookies或一些组合呢? (当应用程序出现错误时,会话对象会自行重置,因此我会遇到更多问题) 我主要是做桌面编程,觉得我缺乏这方面的知识,所以任何人谁可以扩大在哪里使用caching,会话,cookies(或分贝)将不胜感激 编辑:从答案看来,数据库和cookies的组合是我想要的。 我必须在连接到session-id的数据库中存储预订 将session-id存储在cookie中(encryption)。 每页加载检查cookie并从数据库中获取预订 我有一个清理程序,每周运行一次,清除未完成的预订。 我无法将预订存储为cookie,因为用户可以更改价格和其他敏感数据,我必须validation所有内容(不能信任数据)。 我知道了吗? 并感谢所有人的伟大的解释!