来自跨站点的会话和 cookie答案

【问题标题】：Session and cookies from cross site来自跨站点的会话和 cookie
【发布时间】：2016-08-20 08:47:29
【问题描述】：

我有一个前端 HTML 网站，可以将请求发布到在线托管的 WebApp。这些 html 页面在任何机器上本地运行。因此，他们正在发出跨站点请求。

我正在考虑保存 cookie 并在发送到我的 WebApp 的每个请求中验证这些 cookie。这是最好的方法吗？

另外，当用户从一个页面来回切换到另一个页面时（并且需要他登录），我是否会在页面开头从 HTML 发送带有 cookie 的请求并将他重定向到如果他的 cookie 无效，相应的登录页面？

提前致谢，

【问题讨论】：

【解决方案1】：

你打算走的路似乎没问题。当然，您必须仔细考虑如何保存访问令牌。我会使用其中编码了 IP、用户名和会话到期日期的访问令牌。

但是，仅检查页面加载并不是最好的主意，因为检查结果可能会被欺骗。您应该在每次请求信息时发送此访问令牌，以便您的 web 应用可以决定是否回复信息。

【讨论】：

啊哈太棒了。通过IP/用户名/sessionexp编码，你的意思是我创建的cookie值，应该是这3个值的加密？
是的，您可以通过它检查服务器端用户是否仍然有权访问该页面。 ip 以确保用户只能从他登录的 ip 请求数据（对抗“窃取”访问令牌以获取页面访问权限的中间人攻击，除非攻击者在同一网络），您自己处理应发送哪些数据的用户名以及会话到期以采取额外的安全措施。（减少攻击者使用被盗访问令牌的时间）。完全保护非常困难，但这是开始和阻止大多数攻击者的好方法。