2
我提前道歉,因爲我不擅長解釋事物或流程圖。這不是一個特定的代碼問題,而是關於會話安全性的一般問題。這是一個安全的認證系統的ajax驅動的應用程序?
我試圖一次消除儘可能多的潛在問題。我認爲這需要照顧:
- CSRF
- 會話固定
- 會議預測
- 曲奇盜竊(通過瀏覽器漏洞)
- 會議sidejacking
我意識到可以將session如果攻擊者的IP和用戶代理頭部與經過身份驗證的用戶的頭部相同,則仍然被劫持。我想要做到這一點,你需要SSL?
如果你能弄清楚我想用下面的clusterfuck說什麼,我將不勝感激。這或多或少是我在做什麼:
編輯 - 我有另一個問題:是否可以安全地假設用戶不會有足夠頻繁更改IP地址成爲問題?
