我以用户1和用户2的身份在另一个浏览器中登录。我在Cookie中有一个用户身份会话值。当我复制user1 cookie值并将其粘贴到user2 cookie值中时,用户2更改为user1。如何预防呢?
答案 0 :(得分:0)
您无法完全阻止此行为。这意味着,如果某人获得令牌来代表用户(在您的情况下为cookie),那么他就可以代表该用户。这称为会话劫持。可以将其视为找到另一个房屋的钥匙的人,这并不能阻止该人进入房屋,即使它不是他的房屋。
可以像Google这样的大型网站做一些变通办法:例如检查它是一个新位置还是一台新计算机,并要求其他验证,但这可能不是一个简单的功能。
否则,您需要尽可能地保护令牌,以防止以简单的方式访问令牌,例如通过使用TLS在注释中建议的建议,使用Javascript无法读取的HTTP-olny cookie等,以确保正确注销将会删除Cookie等。