那些遇到过的问题

会话劫持和PHP

Cai*_*aio 11 php security session session-hijacking

让我们考虑一下服务器对用户的信任.

会话固定:为了避免固定我session_regenerate_id()只在身份验证中使用(login.php)

会话sidejacking:整个站点的SSL加密.

我安全吗?

roo*_*ook 28

阅读OWASP A3-Broken认证和会话管理.另请阅读有关OWASP A5-CSRF的信息,有时也称为"会话骑行".

您应该在php头文件中使用此代码:

ini_set('session.cookie_secure',1);
ini_set('session.cookie_httponly',1);
ini_set('session.use_only_cookies',1);
session_start();
Run Code Online (Sandbox Code Playgroud)

此代码可防止会话固定.它还有助于防止xss访问document.cookie,这是会话劫持可能发生的一种方式.仅强制使用HTTPS是解决OWASP A9-传输层保护不足的好方法.这种使用HTTPS的方式有时被称为"安全cookie",这是一个可怕的名称.此外,STS是一个非常酷的安全功能,但并非所有浏览器都支持它(尚未).

归档时间:

查看次数:

5668 次

最近记录:

7 年,6 月 前
PHP会话安全 125
防止会话劫持的最佳方法是什么? 122
更多相关链接
相关归档
如何使用PEAR正确安装PHPUnit? 40
拥有POST'able API和Django的CSRF中间件 32
PHP中二进制文件的前缀是什么? 31
Laravel迁移禁用外键检查的好方法 28
Asp.Net 4.0的Internet Explorer 11会话问题 15
ExtractToFile抛出访问被拒绝错误? 5
可以改进此用户名/密码生成器脚本的安全性吗? 5
setAttribute()和XSS 4
如何在webhook上获取会话ID 3
php mysql:记得以前的RAND() 2
难疑归档
如何将新的本地分支推送到远程Git存储库并跟踪它? 4154
如何将命令行参数传递给Node.js程序? 2280
如何确定变量是"未定义"还是"空"? 2000
常规演员与static_cast与dynamic_cast 1661
我在哪里可以找到有关在JavaScript中格式化日期的文档? 1381
漂亮的git分支图 1290
检查Bash shell脚本中是否存在输入参数 1223
Vim最有效的捷径是什么? 1127
如何测量函数执行所花费的时间 1057
抵消html锚点以调整固定标题 1056