我知道避免会话劫持的唯一方法https,但有时我们不想使用它。所以我考虑了替代方法。
我解释了我的方法,这可能还是好方法?
认为我们有第三方服务器(我称之为 Padra),它为您提供 API 来检查会话和 cookie,您将在您的网站视图中调用 Padra jt 文件(会话和 cookie 由 Padra 域名保存,您没有直接访问它,但 padra 使用 SSL),然后您可以通过调用 Padra API 在服务器端检查会话和 cookie 值。
你怎么看待这件事?
问问题
190 次
2 回答
0
我不认为这是一个特别好的权衡。
问题:
- 您降低了用户对您网站的信心(即使您有一个安全的实施,它也不会有挂锁/绿条/等)
- 您的用户现在有额外的资产来下载、解析、运行,因此会减慢他们的体验
- 如果禁用第三方 cookie,则它根本不起作用
- 您在整个过程中增加了额外的复杂性,现在还对您必须管理的后端有额外的外部依赖
于 2013-03-01T22:38:04.000 回答
0
HTTP-ONLY 标头有助于防止常见的会话劫持和 XSS 漏洞。您可以尝试使用它,而不是经历这么多麻烦。
于 2013-03-26T14:33:16.210 回答