如果我仅在 cookie 中维护 HTTP 会话,有人可以向我解释可能出现的安全问题(以及如何出现)吗?
问问题
282 次
2 回答
0
您可以仅使用 cookie 对会话管理进行编码。管理会话信息需要很多部分。如果管理 cookie 过期时间戳、安全 cookie、会话 ID 生成等任何流程都可能导致以下问题 -
- cookie 可以被盗并重复使用
- 操纵 cookie 可能导致权限升级和未经授权的访问
于 2012-04-30T09:41:07.410 回答
0
好吧,会话本身是不安全的,您在应用程序中为拥有共享密钥的人打开了一个漏洞。但这是可以忍受的。当有人获得您的 Session id 时,就会出现问题。为避免这种情况,您的 id 应具有 uuid 质量(真正随机)并且尽可能短。
还要考虑:如果有人能够将 JS 插入您的域(cookie 对其有效),他/她能够读取您的 cookie 并获得对某人会话的访问权限。
对于涉及安全相关内容的操作(转账、更改电子邮件/密码),您应该再次要求输入密码,以验证用户会话。
单击锁定按钮不仅会破坏您的本地 cookie,还会破坏服务器的会话,因此即使 cookie 已被读取,会话也可以被破坏。
于 2012-04-30T12:30:41.957 回答