我想检查用户是否已登录,因此我指定了一个隐藏的字段来存储会话密钥,我有一个post方法表单来提交。
其他人/黑客可以从我的字段中复制我的会话密钥并将post方法发送到服务器吗?如果是,我该怎么做才能避免这种情况?
答案 0 :(得分:1)
其他人/黑客可以从我的字段中复制我的会话密钥并将post方法发送到服务器吗?
是
如果要最大程度地降低凭据泄露的风险,请使用加密(SSL(HTTPS))。
答案 1 :(得分:0)
是的,可以轻松地从其他地方复制和重新发送密钥。
诀窍是确保会话密钥仅在有限的时间内有效,并且不能从表单中的其他数据中轻易推断出。
你可能会,例如使用一种好的加密方法将用户名,IP地址和时间编码到会话密钥中。解码该密钥将允许您验证用户,系统和时间..不完全是傻瓜证明...
这将限制但不能消除风险
答案 2 :(得分:0)
您应该使用服务器端语言来检查会话密钥。它会更安全。
将它作为隐藏值存在一些问题。 1)用户可以保存表单,然后更改值并尝试劫持另一个会话 2)你可能有一个男人处于中间状态,有人监听表格提交然后劫持那里的会话...
答案 3 :(得分:0)
您可以使用讨论here的散列和时间戳,但大多数Web开发框架都提供某种内置的身份验证机制。