j***ascript传sessionid,-北京沣登科技发展公司

大家好，今天小编关注到一个比较有意思的话题，就是关于javascript传sessionid的问题，于是小编就整理了1个相关介绍 java script传sessionid的解答，让我们一起看看吧。

假设我拿到了别的用户的淘宝网站的cookie，我放到自己的http请求里，我就可以冒充这个用户吗？

***设我拿到了别的用户的淘宝 网站的cookie，我放到自己的http 请求里，我就可以冒充这个用户吗？

session值是不会放在cookie里的吧，否则session就和cookie变成一个东西了，确实，cookie是存在客户端的，不太安全，所以我们需要引入session，但从根本来说，用cookie却实会引发安全问题，只有单纯使用session，才能避免安全问题，但这需要每次用户登陆手动输入用户名密码，这样用户体验很不好

理论上是可行的，但实际上大多数网站在开发过程中就做了相关的限制，在请求服务端网络接口的时候，会加入各种校验信息，从而使得你在别处获得的cookie无法在其他客户端使用。

div>

（图片来源网络，侵删）

而且实际上也有一些网站是可以的，特别是一些安全措施不那么好的中小网站；就如前面回答的那位老哥提到的他开发了一款QQcookie的插件，就是利用QQ相关的设计缺陷。比如QQ空间就有类似的缺陷，而且这个缺陷似乎一直都存在；也就是获取了某个用户QQ空间的cookie可以来发相关内容。有的朋友QQ空间经常出现一些乱七八糟的信息，其实不一定是他的帐号密码被盗了，还有可能是他的cookie信息被别人恶意非法获取了。

但不管怎样，这种做法肯定是不行的。这个做法是非常敏感的，因为涉及到用户信息相关的数据，这是有严重后果。

仅仅cookie是不行，一般都有设备验证，所以也要带上设备IMEI uuid之类。同时还有人机校验，比如我1分钟提交60次订单，系统就有可能让你进行人机认证，让你滑动拼图之类。一般来说客户端都是token之类，这类是有有效期的，你之所以感受不到要重新获取token，是因为在token的有效期快过前你使用了客服端，服务端发现设备没有异常就给你生了新的替换了旧的。这个过程用户是无感知的。所以仅仅cookie是不够的，仅仅token也是不够的。要充分考虑各种机制，一一破解。