0

例如,某些黑客(尽管它在 Laravel 中是加密的)是否有可能进行会话劫持并假装自己是另一个用户?那些简单的呢?例如,如果我在logged_in会话中设置为用户提供一些额外功能的值,当它像一个数字或布尔值一样简单时1,他们可以通过或其他一些浏览器插件自己创建它吗?cookie manager

谢谢

4

1 回答 1

0

对于攻击者来说,为了访问您的会话,他需要检索用户的 cookie。在这种情况下,他可以假装他是您应用程序的特定用户。
但这并不容易。通过个人黑客攻击找到一些用户的信息比试图渗透 laravel 的 Session 更容易。
仍然有可能。但即使他设法做到这一点,你也可以采取额外的预防措施,使黑客的访问默认非常受限。

从另一方面来说,这就是为什么 api 应该是无状态的。因为黑客可以很容易地访问客户端和 api 之间的共享会话并渗透你的系统会话

于 2018-04-04T13:50:52.377 回答