有効期限はクッキーの属性です。後続の要求が発生すると、属性はサーバーに返されません。正常に動作しているブラウザは期限切れのCookieを送信しませんが、悪意のあるブラウザは期限切れを無視してCookieを送信します。ブラウザが実際にクッキーの属性として送信した有効期限を実際に尊重しているかどうかをサーバーがどのように伝えることができますか?後続のリクエストでサーバーに返されたCookieが期限切れではないことをどのように信頼するか?
有効期限をに保存するのは簡単ですか?クッキー?次に、クッキーが署名されている場合、ブラウザはその値を信頼し、それ自身の時計と照合することができます。
興味深い質問を使用して例えば
- しかし、私は答えはあなた、サーバは、適切に期限切れのクッキーを処理することができるというの責任(など「セッションの有効期限が切れた」メッセージを表示するなどしているということだけであると考えます)たとえ良性のクライアントであっても、間違って期限切れのCookieを送信する可能性があります。システムクロックが間違っている場合は –