我在阅读 XSS 时发现检查 IP 和用户代理是防止 cookie 窃取的好方法。我在 SO 上进行了测试,我发现 SO 在更改他们的 IP 或用户代理后不会注销人们,但是当我复制所有标头并使用另一个程序将它们发送给 SO 时,它把我送出去了。当 IP 和用户代理不重要并且所有 http 标头都相同时,它如何检测到某些不同之处?
问问题
207 次
我在阅读 XSS 时发现检查 IP 和用户代理是防止 cookie 窃取的好方法。我在 SO 上进行了测试,我发现 SO 在更改他们的 IP 或用户代理后不会注销人们,但是当我复制所有标头并使用另一个程序将它们发送给 SO 时,它把我送出去了。当 IP 和用户代理不重要并且所有 http 标头都相同时,它如何检测到某些不同之处?