我已经研究了许多讨论防止会话劫持的线程。固定,但我觉得总有一些细节我错过了。
我正在寻找的是与HTML Purifier对XSS做的原则相同的原则,但在这种情况下反对会话劫持和固定。
是否有任何人制作的API或PHP类,涵盖了可以采取的一切措施来阻止会话劫持和修复?
或者我自己做的更好吗?
提前致谢。此致
答案 0 :(得分:1)
会话劫持是指攻击者能够读取用户会话cookie,并使用该会话cookie作为访问应用程序的方法。防止攻击者这样做的唯一方法是使用HTTPS来处理所有事情。没有API可供使用,因为除非他们可以在中间情况下设置人员,否则应用程序无法做任何事情来阻止某人窃取会话cookie。
答案 1 :(得分:0)
我确定您正在搜索等于session.cookie_httponly设置为1的解决方案。
另外可能session.use_only_cookies(但不是!)。
在这种情况下,您的会话的cookie将始终从JS隐藏。
更新:阅读Billy ONeal对HTTPS的回答和评论
是: Billy ONeal提到的HTTPS是一个额外的东西,然后是有这个问题的基础。 Man-in-middle是一种“昂贵”的攻击方式,所以如果你有一些数据来保护访问者的ISP,那么你的网站已经落后于我认为的HTTPS。被盗会话是一个常见问题。
答案 2 :(得分:-3)
自己制作一个总是更好。它可能更难,最终没有做太多,但框架和API可以从那些将成为高顶的人那里获得。
尝试加密会话并以此方式工作。安全性需要对平台的体系结构及其数据库进行大幅度的更改