关于cookie欺骗的问题
最近在参与系统架构方面设计的时候, 大家总是会讨论到这样的一个问题: 暴露到公网的一个服务,如果cookie信息被截取到了, 那别人就可以用你的身份信息登录到该系统。 这里指的是直接获取到你的cookie信息,不需要做任何的修改直接去访问服务器资源,例如:登录。 这样类似于,我在自个电脑登录网银,传输过程中cookie信息被人截取,盗取后其在自己电脑上做登录我的账号信息。 问题是: 1、这种传输过程中被截取的可能性有多大?用的是https协议 2、如何防止这种情况
说下鄙人自己的理解,本身https就是业界的规范。可以确保传输的信息的安全性,另外,即使cookie信息被获取到,由于服务器是基于sessionId识别客户的,所以黑客攻击也是要基于客户本身也是登陆的情况,如果客户退出了。即使再那截取到的cookie,传到服务器段也是不认,同样是需要再重新登陆的。
希望有高手能帮忙指点下!
展开
收起
1
条回答
写回答
写回答
-
1.https 做了加密,这个还是比较安全的 2.cookie的登录信息,可对用户登录ip进行校验。登录ip发生变化,可做出锁定帐号之类的控制
2020-01-07 13:51:04赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
问答排行榜
最热
最新
推荐问答
