Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
为了避免用户登录后的会话劫持,我可以在登录过程中依靠哪些信息来验证确实是合法用户。这样拦截会话中继的人就会失效
他们的 IP 地址和浏览器信息是否足够好?
绝对不是。IP 地址可以被欺骗,浏览器可以改装成穷人的 metasploit 工具包。请参阅海报工具。
OWASP项目对保护会话令牌和其他与一般 Web 应用程序安全相关的好东西有很好的指导。
不信任任何不是从您的 Web 应用程序服务器的安装文件夹中开始的东西。
您可以要求用户在执行重要操作(例如更改电子邮件地址)之前重新进行身份验证(再次输入密码)。没有针对会话劫持的万无一失的保护,您需要选择以安全的名义准备牺牲多少可用性。