最近测试的一个任务涉及到登录功能,登录的话势必要关注到cookie和session(简单介绍见文章:https://www.cnblogs.com/daydayup-lin/articles/12149872.html)
测试之前我们还是要找开发了解下具体的实现方案,做针对性的测试。
以下是我自己总结的cookie和session测试的注意点,在了解到开发实现方案之后,可下面内容来参考设计测试点:
1、登录成功后,服务端是否生成有效的session?session信息是如何存储的?
2、服务端是否对session设置了过期时间?一种是不管是否进行会话,到了设置的固定时间都会过期;一种是多长时间不进行会话,session就会过期。
3、退出登录,服务端应该清除或者无效session
4、每一次会话服务端都需要验证session信息的有效性
5、客户端cookie是否设置了过期时间?(如何不设置过期时间,关闭浏览器就会清除cookie;如果设置了过期时间,到固定时间才会过期)
6、退出登录时,客户端是否清除了cookie
7、cookie中的是否有敏感信息?或者敏感信息是否加密?
8、HttpOnly设置为true(防止cookie值被页面脚本读取)
9、设置Secure为true(保证cookie与WEB服务器之间的数据传输过程加密)
10、是否需要考虑客户端禁用cookie的情况?
11、session和cookie需要考虑同一用户同一时间只支持单用户操作?
如有补充,欢迎留言或者私信交流~