因为我知道在https中避免会话劫持的唯一方法,但有时我们不想使用它。所以我想到了替代它的方式。
我解释自己的方式,是可能还是好方法?
认为我们有第三方服务器(我称之为Padra),它为您提供检查会话和cookie的API,您将在您的网站视图中调用Padra jt文件(会话和Padra域名保存的cookie,你不要' t可以直接访问它,但padra使用SSL),然后你可以通过调用Padra API检查服务器端的会话和cookie值。
你怎么看待它?答案 0 :(得分:0)
我认为这不是一个特别好的权衡。
的问题:
答案 1 :(得分:0)
HTTP-ONLY标头有助于防止常见的会话劫持和XSS漏洞。你可以尝试使用它,而不是经历这么多麻烦。