5 binding
为了防止会话固定问题,我们如何将IP地址与会话ID绑定?是否可以将会话ID与IP地址绑定?
Dir*_*mar 7
我认为这不是一个好主意.来自相同用户的后续请求可能不一定来自相同的IP地址,因为该请求可能来自不同的代理.IIRC曾经是所有AOL用户的情况,也可能是其他提供商或某些公司网络的情况.
最好使用页面令牌保护会话,以防止劫持会话.
Pau*_*ams 3
你可以,但这不是一个好主意。如果您的客户端位于代理场后面,则它们的外部 IP 地址可能会根据每个请求而更改。例如,美国在线 (AOL) 就是这样做的。
归档时间:
17 年,3 月 前
查看次数:
9535 次
最近记录:
10 年,8 月 前