1
我有一個應用程序,授予用戶訪問權限以查看條目列表。登錄的會話會自動獲取會話cookie並使用此cookie查看結果。結果在URL中格式化,如/admin.php?page=12&results=5
,其中結果是每頁顯示的條目數量,頁面是他們當前正在查看的頁面。我想知道我是否做得足夠好,以確保沒有人劫持我的登錄cookie以獲取敏感數據。我是否足夠保護php登錄會話?
[1] CORS標頭拒絕所有CSRF [2]會話ID再生每隔5分鐘,並關閉正常註銷所有訪問失效的會話,登錄兩個新的會話的用戶和訪問舊的會話的最後一個用戶。 [3]確保餅乾對重播攻擊沒問題
還有其他什麼嗎?
POST不比GET更安全 – RiggsFolly
POST在任何方面都不比GET更安全。通過隱晦的安全不是安全。 – ishegg
沒有神奇的POST安全。不要給別人錯誤的希望。 –