xtr*_*nge 7 security cookies remember-me
最初的想法:在“改进的持久登录 Cookie 最佳实践”一文中,( http://jaspan.com/improved_persistent_login_cookie_best_practice ) bjaspan 提出了一种通过创建系列标识符来捕捉潜在 cookie 窃贼的聪明方法,简单来说, 如果两台计算机尝试使用相同的系列标识符,则标记可能存在安全问题。
问题:然而,正如“基于表单的网站身份验证的权威指南”第二部分第 1 点正确指出的那样,黑客只需在为自己复制用户的 cookie 后删除它,就很容易打败它。由于这篇文章相当受欢迎,任何有足够技巧来窃取 cookie 的人都可能知道删除旧的。
问题:是否有解决方案可以克服这个问题?能够检测 cookie 盗窃(即使不是即时的)的好处对于持久登录安全是相当有价值的。有没有更好的方法来防止或检测 cookie 盗窃?
您应该仅使用ssl连接(https),如果您使用cookie,则需要使用标记Secure(仅使用ssl发送以避免冲浪劫持攻击),并使用标记HttpOnly(为了避免xss,浏览器不会把它交给javascript),因为你使用加密的通信,攻击者无法解密和修改(删除cookie)。