当我登录到某个网站时,服务器上就会创建一个活动会话,并且我的浏览器会通过在每次请求时将该会话的标识符发送到服务器来保留其“登录”状态。
这种方法的问题是,有人可能会窃取您的 cookie(通过 cookie 嗅探)。问题是,注销是否真的会在服务器端销毁 cookie?
我猜这取决于服务器以及服务器端语言。例如,在 Apache 上结束 PHP 会话是否真的会使会话标识符无效?
答案1
对于每个服务器来说,并没有单一的答案,但是是的 - 这就是注销的目的。
答案2
这取决于服务器端代码,但遗憾的是根据我的经验,开发人员很少会做“正确的事情”,除非那是最简单的事情。