亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

防止會話劫持的最佳方法是什么?

防止會話劫持的最佳方法是什么?

HUWWW 2019-07-19 16:03:31
防止會話劫持的最佳方法是什么?具體而言,這是在使用客戶端會話cookie標識服務器上的會話時使用的。是否對整個網站使用SSL/HTTPS加密的最佳解決方案,并且您有最好的保證:在中間攻擊中的任何人都不能嗅到現有的客戶端會話cookie?也許第二個最好的方法是對存儲在會話cookie中的會話值本身使用某種加密?如果惡意用戶對機器具有物理訪問權限,他們仍然可以查看文件系統來檢索有效的會話cookie并使用它劫持會話?
查看完整描述

3 回答

?
慕標5832272

TA貢獻1966條經驗 獲得超4個贊

加密會話值將產生零效果。會話cookie已經是一個任意值,加密它只會生成另一個可以嗅探的任意值。

唯一真正的解決辦法是HTTPS。如果您不想在您的整個站點上執行SSL(可能您有性能問題),您可能只需要使用SSL來保護敏感區域。要做到這一點,首先要確保您的登錄頁面是HTTPS。當用戶登錄時,除了常規會話cookie之外,還設置一個安全cookie(這意味著瀏覽器只能通過SSL鏈接傳輸它)。然后,當用戶訪問您的“敏感”區域之一時,將其重定向到HTTPS,并檢查是否存在該安全cookie。一個真正的用戶將擁有它,會話劫機者不會。


查看完整回答
反對 回復 2019-07-19
  • 3 回答
  • 0 關注
  • 1396 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號