我正考虑采取额外的安全措施来保护我的网站用户数据,即使他的会话遭到劫持。请给我指点,也可能对正在考虑额外安全性的其他人有所帮助。
我的计划是在浏览器的本地存储中使用会话ID等额外的密钥,这里可能有一个参数,它可能对某些浏览器不起作用,但无论如何我的应用程序使用的是web套接字,所以我可以假设他们也有本地存储空间。
所以..当用户登录i时,将指定一个密钥存储在本地存储中,之后,通过POST或AJAX从服务器请求的任何安全数据应该包含此密钥作为请求的一部分,并且密钥的验证是在会话ID验证之上。
你们想的是,这会为我提供更多安全性来防止会话劫持(可能不是100%但仍然可能会让黑客生活困难)。
答案 0 :(得分:0)
因此,您希望避免其他用户丢失数据...当会话被劫持时您不需要关心丢失数据,因为执行此操作的用户肯定是其他用户..而普通用户不会这样做
答案 1 :(得分:0)