你所做的一切都无法真正提高会话的实力.你必须清楚你正在防御什么攻击,因为你的检查不会阻止攻击.一个很好的例子是检查用户代理,这对于欺骗是微不足道的.如果即使一个值泄露或者您有XSS/CSRF漏洞,那么滚动会话ID也无济于事,然后攻击者就可以控制会话.
阅读OWASP A3-Broken认证和会话管理.另请阅读有关OWASP A5-CSRF的信息,有时也称为"会话骑行".
您应该在php头文件中使用此代码:
ini_set('session.cookie_secure',1);
ini_set('session.cookie_httponly',1);
ini_set('session.use_only_cookies',1);
session_start();
此代码可防止会话固定.它还有助于防止xss访问document.cookie,这是会话劫持可能发生的一种方式.仅强制使用HTTPS是解决OWASP A9-传输层保护不足的好方法.这种使用HTTPS的方式有时被称为"安全cookie",这是一个可怕的名称.此外,STS是一个非常酷的安全功能,但并非所有浏览器都支持它(尚未).
| 归档时间: |
|
| 查看次数: |
3051 次 |
| 最近记录: |