一般来说,当给定一个没有过期期限的cookie时,现代浏览器会认为这个cookie是一个“会话cookie”,它们会在浏览器会话结束时(通常是在浏览器实例关闭时)删除这个cookie。
IE、Opera、Safari和Chrome都支持这种行为。
然而,firefox (3.0.9最新正式版本)似乎没有遵循这一规则,据我所知,当浏览器关闭时,或者当用户注销或重新启动操作系统时,它不会使cookie过期。
那么,为什么firefox将它们称为会话cookie,而它们却无限期地存在呢?
有人知道Firefox是如何处理会话cookie过期的吗?
发布于 2012-03-30 11:01:20
在共享用户环境中,这有点令人担忧。如果我设置了一个设置为在会话结束时过期的身份验证cookie。在浏览器关闭并且另一个用户启动Firefox之后,这将在Firefox中持续存在。Cookie设置过期日期是有原因的!
发布于 2015-01-12 19:28:02
让我感到困惑的是,Mozilla几年来一直让它保持原样。
好的..。所以我退出了FF并关闭了PC。第二天,FF启动并打开最后一组页面(很好用的功能),但它会恢复会话,我会重新登录到没有“保存我的设置”功能的网站。我知道是因为它们是我建的网站。无论我对php ini设置做什么,会话都会被恢复。
他们绝对不应该被恢复。页面是,但使用cookie ini设置为'0‘的会话为否。
我不明白为什么这没有被标记为安全漏洞。当然,我可以在服务器端做一些额外的检查,看看是否应该允许登录,这是基于自上次登录以来的时间,但它不应该是必需的。
会话不应该持久存在。FF正在操作cookie过期设置。
https://stackoverflow.com/questions/777767
复制相似问题