我正在使用有效凭据在chrome浏览器中以user1身份登录,并且在IE浏览器中以user2身份进行登录。我从IE中获取user2的cookie id,并将其粘贴到user1的cookie id中(即删除用户1的cookie id并替换为user2的cookie id)。现在,我可以在chrome浏览器中获取user2的帐户详细信息。有没有办法解决这个问题?
即使我们手动将cookie从一个浏览器复制到另一浏览器-它也不应劫持另一浏览器的用户详细信息。
答案 0 :(得分:0)
确保在Cookie上使用HttpOnly标志,使用客户端ip等数据以及可能的用户代理在服务器上提供一些变量以进行检查,如果发生了更改,请重新验证它们并仅通过https进行传输
编辑:同样,如果您使用同一用户帐户在同一台计算机上执行此操作,请记住,这并不是对Web应用程序安全性的最佳测试,如果有人使用我的用户帐户,则浏览器已经被记住了恶意用户可以用来登录的网站的密码。如果您通过https传输,则客户端和服务器之间的数据将被加密,并且被拦截的风险很小,如果黑客可以进入您的计算机,那么它将变成一种全新的局面