Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我想知道在成功登录后重新生成会话 ID 是否真的是一种好习惯,而不仅仅是一种货物崇拜行为。
如果我正确理解该理论,它应该可以防止会话劫持(或至少使其更难),但我真的看不出如果有人可以窃取登录前会话,什么会阻止网络钓鱼者再次使用重新生成的会话进行攻击。
我不专注于 Spring(我目前什至不使用 Java),我对优缺点感兴趣。
是的。您应该在登录时重新生成会话,以帮助防御 会话固定和登录 CSRF。
有关更多信息,请参阅OWASP 的建议。
当预登录为 http 而后登录为 https 时,您会重新生成以防止会话劫持。这就是阻止攻击者再次使用重新生成的攻击者的原因。
窃取 http 会话的会话标识符相对容易,假设您在受害者附近,或在某处的路径中,或有网络钓鱼等 - 如果此会话标识符在加密会话中也是可行的,它可以使攻击者的工作很容易。