我正在用两个不同的用户登录,并且两个用户都具有相同的特权。
当我复制user1(超级用户)的会话ID并将其粘贴到user2(低级用户)会话ID的位置时,则user2成为user1并可以访问user1的所有功能。
我该如何限制?
我必须检查哪些验证?
现在成功登录后,对于每个请求,我仅检查传入的会话ID是否处于活动状态?
建议。我正在开发struts2。
我已经在HTTP响应中设置了一些参数,但是我认为不是,这将有助于阻止会话劫持。
response.addHeader("X-Content-Type-OPTIONS", "nosniff");
response.addHeader("X-XSS-Protection", "1; mode=block");
response.addHeader("Expires", "0");
response.addHeader("Pragma", "no-cache");
response.addHeader("Cache-control",
"no-cache, no-store,max-age=0, must-revalidate");
response.addHeader("Strict-Transport-Security",
"max-age=7776000; includeSubdomains");
response.setHeader("Set-Cookie", " path="+request.getContextPath()+" ;secure ;HttpOnly; SameSite=strict");