0

我在阅读 XSS 时发现检查 IP 和用户代理是防止 cookie 窃取的好方法。我在 SO 上进行了测试,我发现 SO 在更改他们的 IP 或用户代理后不会注销人们,但是当我复制所有标头并使用另一个程序将它们发送给 SO 时,它把我送出去了。当 IP 和用户代理不重要并且所有 http 标头都相同时,它如何检测到某些不同之处?

4

1 回答 1

1

例如 SE 使用了更多的方式 auth。SE 将类似于 cookie 的令牌保存为子域上的离线数据,并将其发送到以某种方式验证数据的服务器。然后你会得到一个发送到登录站点的临时令牌,你就会登录。

我希望这会有所帮助。

于 2012-06-01T04:29:24.447 回答