我创建了一个网站,其中一旦用户登录加密的查询字符串并在页面上传递以在会话失败时对用户进行身份验证。但现在的问题是,如果我将网址粘贴到另一台计算机,它只是从加密的查询字符串重新创建会话,用户可以在网站上移动。
我只是不想删除查询字符串,因为它在应用程序中广泛使用...你可以建议我如何使这更安全并使网址依赖于
答案 0 :(得分:0)
您的案例有两种可能性:
您确保使用有关会话浏览器部分的所有可用信息并每次都进行验证(包括remote-ip等)。请注意,这不会以任何方式使其安全,但也许您不关心OR
使用HTTPS并将SessionID写入仅限HTTPS的cookie中。