状态信息的泄漏 。(例如,“这儿有FooCorp的网络目录入口的URL,而你正想要从这家公司
买拖鞋”)
(2) 不用“缓冲猝发”维持会话状态的能力 。那就是,从URL中隔离出会话状态答应一
个页面缓冲来维护唯一的一个已命名的资源的副本 。假如此状态在会话细节URL
中维持,缓冲很有可能不得不维持几个同样的拷贝 。
(3)与其它的维持会话状态的技术相比,它具有使用最低的服务器配置和最小限度的费用
的优点 。
(4)不管是否用户已经通过一个特定的“主页”或“入口”进入,都可以在用户对服务进
行存取的任何时间联系用户与会话 。
(5)能够将会话信息保存在一个稳定的存储容器中,因此一个“会话”能够穿过客户的
干扰,以及系统的重新起动和客户端或系统的崩溃 。.
2.1.推荐的应用
当需要穿过多重HTTP处理事务,此时维持用户与服务之间的状态使用HTTP状态的治理是
很合适的 。假如:
(1) 用户知道会话正在维持并且用户对其表示赞成,
(2) 用户可以在任何时间删除与这样一个会话相关联的状态信息,
(3) 通过跟踪用户的使用该服务的方法获取的信息,假如未经用户的直接答应,是不会透
露给其它的人员的 。
(4) 会话信息无法自己获取敏感信息并且也不能被用于获取敏感信息,要偷听者无法从中
得到任何可用信息 。
(5) 最后一点很重要因为cookies通常是明文发送的,因此,很轻易被偷听者窃取 。
一个推荐的应用的例子就是“购物车”,购物车的存在对于用户来说是非常清楚和明白的,
用户可以明确的“清空”他或她的购物车(或者通过请求来清空或购买货物),因此将导致对
共享状态的放弃,这项服务不会不经用户答应,而向第三方公开用户的购物习惯和浏览习惯 。
注重HTTP状态治理协议有效的答应一个服务提供者拒供给服务,或提供一个限制级别的服
务,假如说某个用户或一个用户的客户的维持会话状态的请求无法兑现 。相反的,缺少合法
的禁止,服务也许会拒绝提供服务,或者提供一个限制级的服务,在这些条件下 。从一个纯
实践的角度考虑,假如说客户端不提供此项服务,那么利用HTTP状态治理设计的服务也许无
法完全的运作 。这样的服务器应当能够轻松的处理这种情形并向用户解释为什么无法享用全
部的服务 。
2.2.存在问题的应用
下面有关HTTP状态治理的应用被认为是不适当的,从反面进行了阐述:
2.2.1.向第三方泄漏的信息
不经用户的正式同意,HTTP状态治理一定不要应用于泄漏用户或有关用户浏览习惯的信
息给第三方,除了该用户和服务外 。
这种用法是禁止的,即使是把用户的名字或其它的可对其进行标识的标识符泄漏给第三方,
因为此状态治理机制自己提供了一个可用于编译有关用户信息的标识符 。
因为这些实际情况使得HTTP状态治理机制倍受人们的指责,他们倾向于限制HTTP状态管
理的效果,因此它被认为对于网络的操作是有害的 。
2.2.2.作为鉴定机制使用UseasanAuthenticationMechanism
通常认为HTTP状态治理机制作为鉴定机制使用是不合适的 。HTTP状态治理并不是专门为
这种应用而设计的,因此它在鉴定认证的保护上的安全措施是缺乏的,不论是协议的说明书
还是对于普遍配置HTTP的客户或服务器 。绝大多数HTTP会话是不加密的,因此“cookies"
可能会因此被泄漏给偷听者 。此外HTTP客户端和服务器又有这个特点:仅仅经过简单的甚至
推荐阅读
- 在NetBIOS网络上传输IP数据报的标准
- v3 简单目录访问协议:传输层安全扩展
- 在串行线路上传输IP数据报的非标准协议
- TCP/IP:传输控制协议和网间协议
- 公用数据网上的IP数据报传输标准
- WWW的核心—HTTP协议
- 在IP网络传输话音和数据的渐进方法
- RFC3 文档规范
- 如何蓝牙一次传输多个文件
- 百度网盘怎么传输文件 文件传输看完你就明白了