最近測試的一個任務涉及到登錄功能,登錄的話勢必要關注到cookie和session(簡單介紹見文章:https://www.cnblogs.com/daydayup-lin/articles/12149872.html)
測試之前我們還是要找開發了解下具體的實現方案,做針對性的測試。
以下是我自己總結的cookie和session測試的注意點,在了解到開發實現方案之后,可下面內容來參考設計測試點:
1、登錄成功后,服務端是否生成有效的session?session信息是如何存儲的?
2、服務端是否對session設置了過期時間?一種是不管是否進行會話,到了設置的固定時間都會過期;一種是多長時間不進行會話,session就會過期。
3、退出登錄,服務端應該清除或者無效session
4、每一次會話服務端都需要驗證session信息的有效性
5、客戶端cookie是否設置了過期時間?(如何不設置過期時間,關閉瀏覽器就會清除cookie;如果設置了過期時間,到固定時間才會過期)
6、退出登錄時,客戶端是否清除了cookie
7、cookie中的是否有敏感信息?或者敏感信息是否加密?
8、HttpOnly設置為true(防止cookie值被頁面腳本讀取)
9、設置Secure為true(保證cookie與WEB服務器之間的數據傳輸過程加密)
10、是否需要考慮客戶端禁用cookie的情況?
11、session和cookie需要考慮同一用戶同一時間只支持單用戶操作?
如有補充,歡迎留言或者私信交流~