如果Cookie被盗,如何保护GET方法,因为Antiforgery Token只保护POST方法? Web应用程序可以通过GET方法返回敏感信息。
我正在使用.AspNetCore基于声明的身份。我试图使用Postman查看GET方法的内容,但我无法让它工作。 我认为这在理论上是可行的。授权用户cookie可能被一名男子劫持在中间右边?
该网站受SSL保护,我认为基于.AspNetCore声明的身份是基于会话的cookie。有什么机会打破执行GET方法并获取返回值。如何保护申请?
答案 0 :(得分:0)
永远不应该达到这一点
不要只使用cookie来验证用户。您应该根据每个会话使用多个cookie,例如设备名称或ID,设备的IP地址,存储在浏览器中的会话ID,可能存储在其本地数据中的内容(即使已删除cookie也会永久存储),以验证特别是PC等。还有很多其他安全方法是用户的身份。
但是,如果您使用会话cookie而无需对其进行身份验证,那么您应该首先修改应用程序如何保护其用户。因为如果该会话cookie被盗,那么对你的用户来说这是一个不好的信号。