我正在考虑一种额外的安全措施来保护我的网站用户数据,即使他的会话被劫持了。 请给我指点,这也可能对正在考虑额外安全性的其他人有所帮助。
我的计划是在浏览器的本地存储中使用一个额外的键,例如会话ID,这里可能有一个论点,它可能不适用于某些浏览器,但无论如何我的应用程序正在使用Web套接字,所以我可以假设它们也有本地存储。
因此,当用户登录时,我将分配一个密钥存储在本地存储中,之后对于通过POST或AJAX从服务器请求的任何安全数据,都应将此密钥作为请求的一部分,并且密钥的验证是在会话身份验证之上。
你们的想法,这会为我提供更多的安全性来防止会话劫持(可能不是 100%,但仍然可能会让黑客生活困难)。
大多数情况不必那么严重,但如果认为有必要:
http://php.net/manual/en/session.security.php
这也非常有用:
http://wblinks.com/notes/secure-session-management-tips
所以你想避免杂项用户数据丢失......您无需关心会话被劫持时丢失数据,因为这样做的用户肯定会杂项用户..普通用户不会这样做