我正在考虑一种额外的安全措施来保护我的网站用户数据,即使他的会话被劫持。请给我指点,也可能对其他正在考虑额外安全性的人有所帮助。
我的计划是在浏览器的本地存储中使用一个额外的密钥,如会话 ID,这里可能有一个论点,它可能不适用于某些浏览器,但无论如何我的应用程序正在使用网络套接字,所以我可以假设他们有本地存储也。
所以..当用户登录时,我将分配一个存储在本地存储中的密钥,之后通过 POST 或 AJAX 从服务器请求的任何安全数据都应该包含这个密钥作为请求的一部分,并且这个验证关键是在会话 id 验证之上。
你们怎么想,这是否会为我提供更多的安全性来防止会话劫持(可能不是 100%,但它仍然可能让黑客的生活变得困难)。