我有一个普遍的问题。我有一个使用cookie进行身份验证的Web应用程序。 Cookie也由服务器验证。
但是我应该在以下场景中做些什么:
问题是。我现在该怎么办?
答案 0 :(得分:0)
希望您的会话暂停时间很短,因此用户将在20分钟左右后退出。
这是基于意见的,但我的建议是在可能的情况下清除cookie客户端 - 这只有在您的会话cookie不是httponly时才有可能。如果您无法登录客户端,因为攻击者阻止访问注销URL,那么:
是,显示错误消息以通知用户。毕竟,他们的帐户存在风险。 “您无法注销。请再试一次。如果问题仍然存在,请与我们联系。建议您清除Cookie。”
所以为了回答你的问题,最好的回答是#2,但如果你把会话安全作为优先考虑,这可能是不可能的,所以你必须选择#1。