我知道在https中避免会话劫持的唯一方法,但有时我们不想使用它。所以我在想另一种方法。
我解释我的方法,这是可能的还是好的方法?
认为我们有第三部分服务器(我叫它Padra),它给你API检查会话和cookie,你会调用Padra jt文件在你的网站视图(会话和cookie保存的Padra域名,你没有直接访问它,但Padra使用SSL),然后你可以检查会话和cookie值在服务器端调用Padra API。
你觉得怎么样?
我不认为这是一个特别好的权衡。
问题:
- 你已经降低了用户对你的网站的信心(即使你有一个安全的实现,它不会有挂锁/绿条等)
- 您的用户现在有一个额外的资产下载,解析,运行和所以减慢了他们的体验
- 如果第三方cookie被禁用,它根本不起作用
- 你已经增加了额外的复杂性,现在也有一个额外的外部依赖于你的后端,你必须管理
HTTP-ONLY报头有助于防止常见的会话劫持和XSS漏洞。你可以试着用这个来代替这么多麻烦。