1
我想檢查用戶是否有登錄,所以我分配一個隱藏的字段來存儲會話密鑰,並且我有一個提交方法表單。安全問題關於隱藏字段
其他人/黑客可以從我的字段複製我的會話密鑰,併發送post方法到服務器?如果是的話,我該怎麼做才能避免這種情況?
A
回答
0
是的,從其他地方複製和重新發送密鑰可以輕鬆完成。
訣竅是確保會話密鑰只在有限的時間內有效,並且不能輕易地從表單中的其他數據推導出來。
你可能會使用良好的加密方法將用戶名,IP地址和時間編碼爲會話密鑰。解碼功能,鍵將允許您驗證用戶,系統和時間..不完全是傻瓜證明還是......
這將限制但不能消除風險
1
0
您應該使用服務器端語言來檢查會話密鑰。它會更安全。
將它作爲隱藏值存在一些問題。 1)用戶可以保存表格,然後更改該值並嘗試劫持另一個會話 2)您可以讓一個男人處於中間狀態,在那裏某人正在偵聽要提交的表單,然後在那裏劫持會話...
+0
沒有人建議使用服務器端語言以外的任何其他語言來檢查密鑰。 (1)用戶可以**總是**嘗試猜測另一個會話密鑰,而不管你存儲在哪裏。 (2)是的,但密鑰的存儲位置並不重要,只有如何傳輸。 – Quentin 2010-01-29 12:47:28
0
您可以使用討論here的哈希和時間戳,但大多數Web開發框架提供了某種內置的身份驗證機制。
相關問題
- 1. cakephp隱藏字段問題
- 2. 隱藏字段,安全使用?
- 3. 關於實時搜索字段中安全性的問題
- 4. 關於顯示/隱藏的CSS問題
- 5. 關於溢出的問題:隱藏
- 6. 安全問題關於標題('location:some_page.php')
- 7. 使用隱藏字段進行帖子編輯的安全問題
- 8. blur()隱藏字段時更改()問題
- 9. asp.net中有關隱藏字段的問題
- 10. 安全問題關於序列化C#
- 11. Android:安全問題關於SQLite db
- 12. 關於CORS的安全問題
- 13. 關於ajax的安全問題
- 14. 訪問隱藏字段值
- 15. 訪問隱藏字段值
- 16. 隱藏Html.ActionLinks基於角色的安全
- 17. 如何通過隱藏表單字段安全地傳遞相關的Class_id
- 18. 隱藏字段
- 19. 隱藏字段
- 20. 隱藏字段
- 21. 網絡應用程序:存儲ID隱藏字段安全嗎?
- 22. 在隱藏字段中發送xml數據。是否安全?
- 23. 在ASP.NET MVC中比隱藏表單字段更安全嗎?
- 24. 隱藏字段的這些用途是否不安全?
- 25. 替代使用Rails的隱藏字段。讓事情安全
- 26. 最佳實踐 - 隱藏數據網格列的安全問題
- 27. Coldfusion安全問題...如何隱藏文件目錄?
- 28. 春季安全核心插件 - 如何從隱藏字段訪問用戶ID
- 29. Linq安全 - 隱藏列
- 30. 隱藏字段值不獲取有關代碼隱藏在JavaScript
我不得不承認我不確定答案,但聽起來不是一個好主意。 – 2010-01-29 12:24:02
你能指定你使用的是什麼技術嗎? (ASP.NET,PHP等)其中大多數人都有辦法讀取服務器端會話中存儲的內容,而不必在html頁面上顯示密鑰。 – 2010-01-29 12:27:36