问题标签 [sessiontracking]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
21 问题
0
投票
1
回答
175
浏览
security - 黑客是否有可能通过窃取会话令牌然后伪造用户代理、IP 和其他详细信息来冒充用户?
身份验证和会话跟踪的常见做法包括使用从客户端检索到的会话 ID,然后比较存储在数据库中的用户详细信息以匹配会话 ID、用户代理详细信息、IP 等。现在,如果黑客获得对会话的访问权限令牌并猜测或提取其他细节,他可以冒充用户吗?我们可以采取哪些措施来防止此类攻击?