我阅读了有关 session 劫持的文章,并希望了解更多与之相关的信息。目前我的 Web 应用程序是在 ASP.NET 中开发的,正在使用 Cookieless =true 模式进行 session 状态。我们使用 HTTPS,这是一种安全连接,可以减少 session 劫持。我知道当我们使用 Cookieless 时, session ID 嵌入在 URL 中,如果用户将此 URL 传递给某人,并且如果 session 仍然存在,其他用户将能够登录,有时这可能会很危险。所以只是想知道 HTTPS 是否足够,或者我应该采取一些措施来保护我的网络应用程序。
最佳答案
HTTPS 仅防止在客户端和服务器(或服务器和客户端)之间抓取和更改数据。如果用户与 friend (或黑客:)分享链接,它对你没有帮助。
作为一个选项,您可以在 session 启动时将客户端 IP 保存在 session 变量中,并检查每个请求当前 IP 和 session 中的 IP 是否相同。这将提供更多的安全性。
关于asp.net - 避免 Web 应用程序的 session 劫持,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3509862/