我正在寻找一种方法来保护包含重要信息的 php session 。对于使用电话的人来说,使用 IP 验证不是一个好主意。这就是为什么我认为在 session 和经典 cookie 中存储随机生成的 key 可能是明智的。然后每 x 分钟检查两个键是否匹配。这是一个好主意吗?我在搜索中没有找到任何关于此的信息。
感谢您的反馈意见,
杰斯维尔
最佳答案
这在一定程度上是个好主意。
通常用(个人)帐户和密码( key )保护 session 就足够了。帐户名不应像“admin”或“root”那样过于通用,密码应包含足够的 entropy ,这使得密码难以预测(并且难以记住,因此需要使用密码管理器)。
添加额外 crypto safe key 的一个原因通过 JavaScript 是为了防止跨站点请求伪造(CSRF)。 key 仅对 JS 上下文已知,并且也存储在 session 中。然后,CSRF token 必须与每个 HTTPS 请求一起发送,并且它必须与 session 中的值匹配,否则必须拒绝请求。
您可以阅读所有关于 this 的信息和 other关于OWASP的预防机制备忘单系列网站。
关于php - 使用 session 和 cookie 中的 key 保护 session ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68143424/