我不确定将IP绑定到会话的想法是否合适。
有哪些替代方案?
目前我所拥有的是:
但是,如果第三方以某种方式找到会话ID怎么办?我应该关心这种可能性吗?将会话绑定到IP会使这样的会话伪造更加困难,但是有时可能会有多个用户出现相同的IP。
我很无能为力! :(
答案 0 :(得分:3)
从不编写自己的会话处理程序,使用平台附带的任何内容。限制到ip地址不是一个好主意。 IP地址因合法原因而更改,例如,如果用户位于负载均衡器后面。更进一步,如果他们是一个免费的无线网络怎么办?然后每个人都可以访问。
答案 1 :(得分:-1)
出于上述原因,我更喜欢绑定用户代理而不是IP。绑定用户代理会使重放cookie变得更加困难。
SSL可以很好地防止“中间人攻击”,但它不是一种神奇的“保护所有”解决方案。如果您的网站容易受到XSS攻击,则Cookie不安全(扩展名为会话ID)。
另外:注意会话固定。