最初的想法:在“改进持久登录 Cookie 最佳实践”一文中,( http://jaspan.com/improved_persistent_login_cookie_best_practice ) bjaspan 提出了一种通过创建系列标识符来捕获潜在 Cookie 窃贼的巧妙方法,该标识符简而言之,如果两台计算机尝试使用相同的系列标识符,则标记可能存在的安全问题。
问题: 然而,正如“The definitive guide to form-based website authentication”第二部分第 1 点正确指出的那样,黑客只需在为自己复制用户的 cookie 后删除该 cookie,就可以轻松击败此问题。由于这篇文章相当受欢迎,因此任何拥有足够知识来窃取 cookie 的人都可能知道删除旧的 cookie。
问题:是否有解决方案可以克服这个问题?能够检测 cookie 盗窃(即使不是立即)的好处对于持久登录安全性相当有值(value)。有没有更好的方法来防止或检测 cookie 盗窃?
最佳答案
您应该仅使用 ssl 连接 (https),如果您使用 cookie,则需要使用标记 Secure(仅使用 ssl 发送,避免冲浪劫持攻击),并使用标记 HttpOnly(为了避免 xss,浏览器不会把它交给javascript),因为你使用加密的通信,攻击者无法解密和修改(删除cookie)。
关于security - "Improved Persistent Login Cookie Best Practice"中的漏洞有解决方案吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21586024/