2
我提前道歉,因为我不擅长解释事物或流程图。这不是一个特定的代码问题,而是关于会话安全性的一般问题。这是一个安全的认证系统的ajax驱动的应用程序?
我试图一次消除尽可能多的潜在问题。我认为这需要照顾:
- CSRF
- 会话固定
- 会议预测
- 曲奇盗窃(通过浏览器漏洞)
- 会议sidejacking
我意识到可以将session如果攻击者的IP和用户代理头部与经过身份验证的用户的头部相同,则仍然被劫持。我想要做到这一点,你需要SSL?
如果你能弄清楚我想用下面的clusterfuck说什么,我将不胜感激。这或多或少是我在做什么:
编辑 - 我有另一个问题:是否可以安全地假设用户不会有足够频繁更改IP地址成为问题?