那些遇到过的问题

玩吗!框架有任何内置机制来防止会话劫持?

mar*_*aos 13 java session playframework

我已经读过play框架通过使用应用程序密钥散列会话id来解决会话固定问题,但它是否提供了防止会话劫持的任何机制,还是由实现者来做?

Cod*_*nci 3

play 文档中有一个关于安全性的很好的部分,因此这里有一个链接 - http://www.playframework.org/documentation/1.2.4/security ,而不是重复。

它涵盖

  • 跨站脚本攻击
  • SQL注入
  • 会话安全
  • 跨站请求伪造

有些你必须自己实现,有些则不需要。

您关于会话劫持的具体问题是自动的。

会话是键/值的哈希值,已签名但未加密。这意味着只要您的秘密是安全的,第三方就不可能伪造会话。

  • 如果他们不篡改怎么办?如果我嗅探您的 cookie,并且不更改其中的任何值,那么肯定由于散列仍然有效(假设它存储在 cookie 中),我可以使用您的值进行身份验证。 (2认同)

归档时间:

查看次数:

2374 次

最近记录:

13 年,9 月 前
相关归档
null和empty("")Java String之间的区别 141
@Autowired bean在另一个bean的构造函数中引用时为null 86
JSON - 通过JSONArray迭代 54
将String转换为字节数组,然后再转换回原始String 51
为什么 Arrays.stream() 不支持 char[] 唯一的数组? 43
Rails 4:会话到期? 30
Asp.net-MVC中Session和ViewData有什么区别? 6
播放:如何从JSON中删除没有值的字段并使用它们创建新的JSON 5
IntelliJ和Play框架 5
Node Express 无法使用 post 请求设置会话 5
难疑归档
如何修改现有的,未删除的提交? 7669
基于表单的网站身份验证的权威指南 5311
运算符重载的基本规则和习惯用法是什么? 2074
什么是__init__.py? 2074
如何以MS Word保留格式和语法高亮显示代码片段? 1877
在jQuery中检测移动设备的最佳方法是什么? 1564
我应该在哪里将<script>标记放在HTML标记中? 1392
在Android Studio中重命名包 1252
检查值是否是JavaScript中的对象 1194
自定义HTTP标头:命名约定 1051