我在应用引擎的会话中存储用户状态(登录/用户 ID)。知道其他用户 UserId 的用户是否可以操纵他们的 cookie 并以其他用户身份登录。
我应该采取什么措施来防止这种情况发生?
问问题
260 次
2 回答
2
一个用户不可能直接访问另一个用户的数据。但是,一个用户有办法窃取另一个用户的登录会话。但这不是 GAE 特有的。
看:
- http://en.wikipedia.org/wiki/Session_hijacking
- http://en.wikipedia.org/wiki/Cross-site_request_forgery (CSRF)
劫持很容易发生在开放的 wifi 热点上。一个常见的解决方案是使用SSL托管您的站点。
当用户登录您的网站并在同一浏览器中打开恶意网站时,就会发生 CSRF。有多种方法可以防止这种情况发生。一个常见的解决方案是在 HTML 表单中包含一个随机验证令牌。此外,设置 HTTP 响应标头:X-Frame-Options: sameorigin并检查请求标头X-Requested-With是否不等于非 ajax 命中的“XMLHttpRequest”。
XSS 可用于使这些攻击更有效,因此也要防范它。
对于这些类型的攻击,一般来说,让您的用户会话快速过期。
于 2012-12-03T15:10:20.307 回答
1
我不是安全专家。但我学到的是:
- 使用 HTTPS
- 不要使用框架
- 在您的表单中为每个请求使用新的 CSRF 令牌
- 并将您的状态保存在数据存储中,而不是使用会话 cookie 存储。
于 2012-12-03T15:19:12.623 回答