只要您登录、查看个人资料或参与讨论,它就会持续存在,并在您注销时结束。但是网络服务器如何知道您发出的每个请求实际上都是您本人发出的呢?这就是cookie派上用场的地方。登录后,您将凭据提交到网络服务器。它会验证您的身份,并通过 cookie 为您提供会话ID,该 cookie 将在会话期间与您绑定。这就是为什么您每次访问某人的个人资料时都不会退出应用程序,以及为什么即使您刷新页面,在线商店也会记住您放入购物车的商品。但是,如果攻击者使用特殊的会话管理技术或窃取您的 cookie,他们就可以劫持您的会话。这样,他们就可以欺骗 Web 服务器,让其相信请求来自您(授权用户)。会话劫持现象在 2000 年代初就为人所知,但它仍然是黑客最常用的方法之一。最近的一个例子是 Lapsus$ 组织,该组织今年被列入 FBI 通缉名单。
