为了账号安全,请及时绑定邮箱和手机立即绑定

请问防止会话劫持的最佳方法是什么?

请问防止会话劫持的最佳方法是什么?

慕的地6264312 2019-08-02 07:02:50
防止会话劫持的最佳方法是什么?具体而言,这是在使用客户端会话cookie标识服务器上的会话时使用的。是否对整个网站使用SSL/HTTPS加密的最佳解决方案,并且您有最好的保证:在中间攻击中的任何人都不能嗅到现有的客户端会话cookie?也许第二个最好的方法是对存储在会话cookie中的会话值本身使用某种加密?如果恶意用户对机器具有物理访问权限,他们仍然可以查看文件系统来检索有效的会话cookie并使用它劫持会话?
查看完整描述

3 回答

?
德玛西亚99

TA贡献1770条经验 获得超3个赞

加密会话值将产生零效果。会话cookie已经是一个任意值,加密它只会生成另一个可以嗅探的任意值。

唯一真正的解决办法是HTTPS。如果您不想在您的整个站点上执行SSL(可能您有性能问题),您可能只需要使用SSL来保护敏感区域。要做到这一点,首先要确保您的登录页面是HTTPS。当用户登录时,除了常规会话cookie之外,还设置一个安全cookie(这意味着浏览器只能通过SSL链接传输它)。然后,当用户访问您的“敏感”区域之一时,将其重定向到HTTPS,并检查是否存在该安全cookie。一个真正的用户将拥有它,会话劫机者不会。




查看完整回答
反对 回复 2019-08-03
  • 3 回答
  • 0 关注
  • 797 浏览

添加回答

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信