Tom*_*ard 3 coldfusion
CFID,CFTOKEN和jsessionid值的组合支持ColdFusion会话.首次点击cfm页面时,将建立这些值,从而创建SESSION.
我的问题是,如果SESSION是在HTTP下创建的,然后点击一个链接进入HTTPS下的登录页面,那些SESSION令牌值是否被泄露,因为它们是在http下创建的(即它们是以明文形式传递的,作为请求).
我猜测有人精明地嗅探公共路由器可能会获得这些值,然后欺骗会话.我知道,这绝对是罕见的,但仍然是一个问题.
Dan*_*ort 6
是的,如果您通过非安全通道传递它们,您的cookie将容易受到窃听和会话劫持.维基百科在其会话劫持页面上列出了一些良好的预防机制.可能最简单的方法是使用invertSpear表示并在成功登录后重新生成会话,并且一旦登录,就保持HTTPS.
归档时间:
14 年,5 月 前
查看次数:
397 次
最近记录: