laravel - Laravel - 即使它是加密的，是否可以进行会话劫持

Question

例如，某些黑客（尽管它在 Laravel 中是加密的）是否有可能进行会话劫持并假装自己是另一个用户？那些简单的呢？例如，如果我在logged_in会话中设置为用户提供一些额外功能的值，当它像一个数字或布尔值一样简单时1，他们可以通过或其他一些浏览器插件自己创建它吗？cookie manager

谢谢

Answer 1

对于攻击者来说，为了访问您的会话，他需要检索用户的 cookie。在这种情况下，他可以假装他是您应用程序的特定用户。
但这并不容易。通过个人黑客攻击找到一些用户的信息比试图渗透 laravel 的 Session 更容易。
仍然有可能。但即使他设法做到这一点，你也可以采取额外的预防措施，使黑客的访问默认非常受限。

从另一方面来说，这就是为什么 api 应该是无状态的。因为黑客可以很容易地访问客户端和 api 之间的共享会话并渗透你的系统会话