1.1.5 验证、会话和授权

HTTP是无状态的,协议本身不维护任何会话状态。也就是说,如果你请求一个资源并且收到一个有效的响应,然后请求另一个资源,服务器将其看做完全独立和唯一的请求。它不会维护任何东西(例如会话)或者维护与客户的链接的完整性。这也对攻击者有利,因为他们不需要计划多阶段的攻击来击垮错综复杂的会话维护机制,只用一个请求就可以击垮Web应用。

更好的是,Web开发人员已经试图解决基本协议的这个问题,方法是采用自己的验证、会话管理和授权功能,通常通过实施某种形式的验证,然后将授权/会话信息隐藏在cookie中来实现。你在第4章中将看到关于验证的内容,在第5章中将看到关于授权的内容(还介绍了会话管理),这也为攻击者创建了富饶的土壤,可一再挖掘。