0
A
回答
0
什麼是加密或掩蓋它的好處?假設有一種簡單且不浪費時間的方法來執行此操作,攻擊者只需複製令牌的加密形式並將其提供給您的應用程序,並且您的應用程序將盡職盡責地對其進行解密,而不管來源如何。同上來掩蓋它:無論您在傳輸它之前執行哪些屏蔽,都意味着服務器端的某個組件需要取消屏蔽以使其可用。所以真的,你不會在你看的方向上取得任何成就。
這裏的主要威脅可行的是一個會話重放攻擊,它可以很容易地通過確保
- 您的會話不會活太久
- 你實現一個積極的會話策略來緩解,任何給定的用戶ID都不能有多個活動會話 - 這意味着即使會話ID被攻破,也不會有新的會話被盜用令牌。
如果您對會話令牌的處理感興趣,您應該閱讀OWASP's session management article,這會讓您更好地保護會話;你現在看到的只是分散注意力
相關問題
- 1. J查詢隱藏隱藏
- 2. 隱藏「隧道到」會話
- 3. 如何隱藏#id對象
- 4. URL語法:隱藏頁碼和會話ID
- 5. 會話不工作 - GAE/J
- 6. 隱藏ID
- 7. 如何更改會話ID?
- 8. Vaadin - 在會話過期時隱藏UI
- 9. 根據會話隱藏並顯示div
- 10. 隱藏的輸入值到PHP會話
- 11. 單擊隱藏會話的div
- 12. 會話變量,隱藏字段和表
- 13. 如何從URL中隱藏ID
- 14. 如何隱藏網址中的ID?
- 15. 如何隱藏網址中的ID
- 16. 如何按ID隱藏圖層?
- 17. ZF2導航,如何隱藏基於會話
- 18. 如何添加cookie會話記住隱藏的碼頭狀態?
- 19. 如何隱藏基於會話值的HTML元素
- 20. 如何在代碼隱藏中訪問會話變量
- 21. 如何隱藏會話的警告消息?
- 22. 如何隱藏在揚鞭會話參數與Springfox
- 23. 隱藏GridView ID列
- 24. 隱藏對話框後隱藏塊
- 25. 如何隱藏模式對話框
- 26. 如何隱藏標題對話框jquery?
- 27. 如何阻止對話窗口隱藏
- 28. 如何隱藏EA屬性對話框?
- 29. MFC如何隱藏對話框?
- 30. jquery ui對話框按鈕隱藏和顯示,如果id isset
這是正常行爲。爲什麼這會對你造成問題? – BalusC
我需要那JSESSIONID掩蓋,以便它不可見。因爲它可能會導致安全相關的問題 –
這是它總是當某人暴露自己的會話cookie進入公開爲某些不明原因。你不能對此做任何事情。這不是特定於JSESSIONID的。其他語言如PHP和ASP也有這個「問題」。 – BalusC