0
如果我僅在Cookie中維護HTTP會話,有人可以向我解釋可能引發(如何)的安全問題嗎?安全問題:僅在cookie中維護HTTP會話
A
回答
0
您只能使用cookie對代碼進行會話管理。它將需要很多部分來管理會話信息。 如果管理cookie過期時間戳,安全的Cookie,會話ID生成等,可以引起諸如問題的任何流量 -
- Cookie可以被盜&重用
- 操作餅乾會導致特權上報&未經授權 訪問
0
那麼,本身的會話是不安全的,你在你的應用程序中爲擁有共享密鑰的人打開一個洞。但那是可以忍受的。出現問題時,有人獲得您的會話ID。爲了避免這種情況,你的id應該是uuid質量的(真的是隨機的)並且儘可能短。
另外要考慮:如果某人能夠將JS插入到您的域(對於該域有效),他/她能夠讀取您的cookie並獲得對某人會話的訪問權限。
對於涉及安全相關內容(轉移資金,更改電子郵件/密碼)的操作,您應該再次詢問密碼以驗證用戶會話。
單擊鎖定按鈕不僅會破壞您的本地cookie,而且會話也是服務器,因此即使cookie已被讀取,會話也會被銷燬。
相關問題
- 1. 在Android中維護cookie會話
- 2. 使用PhoneGap維護安全會話
- 3. 維護HTTP會話春
- 4. PHP會話安全問題
- 5. 會話,cookie和安全
- 6. Expressjs安全會話cookie
- 7. Cookie會話和安全
- 8. 會話Cookie問題
- 9. 在grails中維護會話
- 10. 在Silverlight中維護會話
- 11. 如何配置會話cookie爲僅HTTP
- 12. 會話cookie僅Http假軌3.1
- 13. 通過AuthenticationToken和Authenticator維護http會話
- 14. 登錄後維護HTTP會話
- 15. 保護會話cookie
- 16. 發揮關於cookie和會話的框架安全問題
- 17. php中的安全會話/ cookie
- 18. 閱讀Java中的安全會話cookie
- 19. 龍捲風安全cookie過期(又名安全會話cookie)
- 20. 在CakePHP的網站sone中維護會話時出現問題
- 21. 如何在整個cURL會話中維護cookie數據?
- 22. 如何在iOS中維護會話或cookie?
- 23. 維護Facebook會話
- 24. HttpConnection維護會話
- 25. PhoneGap會話維護
- 26. WCF會話維護
- 27. Ruby HTTP會話cookie
- 28. CakePHP Cookie /會話問題
- 29. 會話/ cookie問題codeigniter 1.7.2
- 30. facebook會話cookie問題
請您詳細說明您的意思嗎? 「僅在cookies中保留會話」這句話對於你想要達到的目標以及你有什麼樣的擔憂沒有足夠的理解。請更詳細地描述你的情況。 – Cheekysoft