我明白我们可以使用 曲奇饼 网址重写 隐藏的表单字段 HTTPSession对象
在Java中设置会话最安全的方法是什么?
Cookie:客户可以控制操作Cookie值,此外,这些也可以修复会话劫持或用户模拟攻击,另一个缺点是大小限制。
隐藏表格字段:可以在源代码中轻松查看。
URL重写:有自己的限制,比如,如果用户通过跟随第三方的任何链接离开我们的网站,然后回到该网站,如何确保URL包含会话信息(Ofcourse加密)。例如。当你去支付网关,然后回到网站。
HTTPSession对象:我认为这在服务器端是安全的。但是,它如何在内部工作以及如何识别用户?
我总是可以使用安全证书并使用SSL进行安全通信,但标准做法是什么?
答案 0 :(得分:0)
如果您正在使用服务器端会话,则标准做法是使用cookie。
如果您使用的是SSL,那么会话劫持的曝光率将会降至最低。客户端可以操纵cookie值,但客户端猜测另一个用户的cookie ID的可能性非常非常小。此外,如果您要求客户端对站点进行身份验证,您通常还会有一个与会话cookie绑定的身份验证cookie,因此更改任何一个都会使另一个无效。
不确定尺寸限制是什么意思?