为了避免用户登录后的会话劫持,我可以在登录过程中依靠哪些信息来验证确实是合法用户。这样拦截要中继的会话的人将被无效
他们的IP地址和浏览器信息是否足够好?
他们的IP地址和浏览器信息是否足够好?
绝对不是。IP地址可以被欺骗,浏览器可以被改装成穷人的元工具包。请参阅海报工具。
OWASP项目有很好的指示来保护会话令牌和其他与一般Web应用程序安全性相关的好东西。
信任任何不是从 Web 应用程序服务器的安装文件夹中开始的内容。
您可以要求用户在执行重要操作(例如更改其电子邮件地址)之前重新进行身份验证(再次键入其密码)。没有针对会话劫持的无懈可击的保护,您需要选择以安全的名义准备牺牲多少可用性。