8
我忙於爲我的項目登錄系統。檢查用戶是否更改了cookie值,手動
只是爲了一個額外的步驟,以安全..我如何檢查/檢測,如果用戶手動修改cookie的值?
是否有一些簡單的方法來做到這一點?或者我必須設置一個額外的Session變量並與之匹配?據說這是一個普通的ASP.Net會話可以通過瀏覽器追蹤嗎?並可以向用戶查看?
謝謝。
A
回答
9
你可以添加數字簽名的cookie值,並檢查簽名,當你讀回。這樣,如果cookie值被篡改,它將非常明顯。
private string sign(string hashStr, byte[] secret)
{
// Compute the signature hash
HMACSHA1 mac = new HMACSHA1(secret);
byte[] hashBytes = Encoding.UTF8.GetBytes(hashStr);
mac.TransformFinalBlock(hashBytes, 0, hashBytes.Length);
byte[] hashData = mac.Hash;
// Encode the hash in Base64.
string hashOut = Convert.ToBase64String(hashData);
return hashOut;
}
編輯:固定編碼所以它明確地UTF-8。
像往常一樣,你也應該確保調用此之前,一些鹽添加到您的字符串,請參閱:Secure hash and salt for PHP passwords
2
如果你必須處理這樣的敏感信息,我建議你不要將其存放在用戶的cookie。而是使用sessions來存儲這些值,因爲用戶將無法篡改這些值。
1
爲什麼不加密cookie值。這樣,用戶很難真正改變它。就像之前的回答所提到的,如果它非常敏感,Cookie不是存儲它的地方,但加密可以爲您提供更多的保護。
+0
加密是不夠的 - 你可以改變這些值,它不會被檢測到(雖然解密可能會失敗,當然還有用戶進行盲目的變化) - 你還必須簽署餅乾,比爾Brasky建議。 – blowdart
+0
真的哥哥,我不認爲這個答案值得讚賞。檢查這個答案,這是一個選項。這取決於你的意圖是什麼。可能是加密將爲他的目的工作。 http://stackoverflow.com/questions/523629/tips-on-signed-cookies-instead-of-sessions –
0
第二個變量添加到您的cookie,它是唯一的第一個值。
在Page_Load兩個值與數據庫中。
如果它們不匹配的記錄,然後刪除cookie。
相關問題
- 1. Rails如何檢查session_id cookie是否被客戶端更改
- 2. Javascript:檢查用戶是否對代碼段做了更改
- 3. 檢查用戶是否更改了數據
- 4. 檢查值更改事件是否由用戶觸發
- 5. JPanel檢查值是否更改
- 6. 檢查更改後值是否發生了變化()觸發器
- 7. 檢查是否在.net中更改了文本框值
- 8. 檢查用戶是否已經登錄,cookie檢查
- 9. 檢查用戶是否登錄了twitter
- 10. 檢查IList是否更改?
- 11. 檢查是否設置了cookie,如果啓動功能正確
- 12. 檢測用戶是否對FontDialog對象進行了更改
- 13. 檢測用戶是否更改了新的Ember數據記錄
- 14. 用戶是否已通過用戶界面更改了值,還是由依賴項屬性更改了?
- 15. 重複/循環javascript函數來檢查cookie是否已更改
- 16. WPF:檢查用戶是否改變了其中一個控件
- 17. 檢查Cookie是否存在?
- 18. 檢查cookie是否設置
- 19. 檢查用戶是否啓用了自動糾正功能iOS
- 20. 如何檢查是否啓用了更改跟蹤
- 21. 移動數據時檢查值是否已更改
- 22. Linux - 如何檢查用戶是否登錄了更多天?
- 23. 如何檢查用戶是否在Go中輸入了空值?
- 24. 如何檢查用戶是否爲DataGridViewColumn輸入了唯一值?
- 25. 檢查cookie是否已過期,如果是註銷用戶
- 26. 檢查用戶是否對時間線添加了動作
- 27. 如何檢查用戶是否在電報中啓動了bot?
- 28. 檢查在rails上的ruby中是否啓用了javascript和cookie?
- 29. 使用MVVM如何查看ComboBox是否更改了所選值?
- 30. laravel檢查用戶是否活動?
困惑,什麼是'headerencoder'? –
對不起,剪切粘貼代碼:)我會編輯。 –
謝謝比爾,我一定會用這個。 –