【发布时间】:2011-04-04 12:33:31
【问题描述】:
如果客户端使用cookie自动登录30天。黑客在获取客户端cookie时可以登录并更改用户信息。如何预防?
对不起我的英语不好! 提前谢谢!
【问题讨论】:
标签: asp.net
【发布时间】:2011-04-04 12:33:31
【问题描述】:
您应确保仅通过 SSL 连接传输 cookie。这几乎是防止 cookie 劫持的唯一方法。
其他有助于预防的方法(但没有一种方法可以 100% 有效)是确保您在 cookie 中使用过期的唯一标识符。 IE,每次登录后,都会更改存储在 cookie 中的用户 ID。这意味着,如果有人劫持了 cookie,或者劫持了旧的 cookie,它们很有可能已经过期。
【讨论】:
-
没有必要发送 cookie,除非它可以用于再次验证。因此,如果黑客抓住了那个,他将获得访问权限。没有唯一的标识符可以真正阻止这种情况——就像你难过的那样。
通过不在客户端电脑上存储任何登录信息。至少不是自动的。如果用户这样做,这取决于她。但是你不应该鼓励她做这种不安全的事情。
【讨论】:
【讨论】: