我查看了许多讨论防止会话劫持和固定的线程,但我觉得总是有一些细节我错过了。
我正在寻找的是与 HTML Purifier 针对 XSS 所做的原理相同的东西,但在这种情况下针对会话劫持和固定。
是否有任何人制作的 API 或 PHP 类涵盖了可以采取的所有措施来防止会话劫持和修复?
还是我自己做比较好?
提前致谢。问候
会话劫持是指攻击者能够读取用户会话 cookie,并使用该会话 cookie 作为访问您的应用程序的手段。防止攻击者这样做的唯一方法是对所有内容使用 HTTPS。没有 API 可供使用,因为如果有人可以在中间情况下设置 man,则应用程序无法做任何其他事情来防止有人窃取会话 cookie。
我确定您正在搜索等于session.cookie_httponly
设置为 1 的解决方案。
也许session.use_only_cookies
另外(但不是相反!)。
在这种情况下,您的会话 cookie 将始终对 JS 隐藏。
更新:阅读 Billy ONeal 的回答并评论 HTTPS
是: Billy ONeal 提到的 HTTPS 是一个额外的东西,然后是有这个问题的基础。中间人是一种“昂贵”的攻击,所以如果你有一些数据需要保护访问者的 ISP,那么我认为你的网站已经落后于 HTTPS。虽然被盗会话是一个常见问题。
自己做一个总是更好。这可能会更难,最终不会做太多,但是那些将要进行劫持的人可以访问框架和 API。
尝试加密您的会话并以这种方式工作。安全需要对平台架构及其数据库进行重大更改