使用唯一信息保护会话



为了避免用户登录后的会话劫持,我可以在登录过程中依靠哪些信息来验证确实是合法用户。这样拦截要中继的会话的人将被无效

他们的IP地址和浏览器信息是否足够好?

他们的IP地址和浏览器信息是否足够好?

绝对不是。IP地址可以被欺骗,浏览器可以被改装成穷人的元工具包。请参阅海报工具。

OWASP项目有很好的指示来保护会话令牌和其他与一般Web应用程序安全性相关的好东西。

信任任何不是从 Web 应用程序服务器的安装文件夹中开始的内容。

您可以要求用户在执行重要操作(例如更改其电子邮件地址)之前重新进行身份验证(再次键入其密码)。没有针对会话劫持的无懈可击的保护,您需要选择以安全的名义准备牺牲多少可用性。

相关内容

  • 没有找到相关文章

最新更新