开发者社区> 问答> 正文

关于使用cookie自动登录的安全性问题:报错

使用cookie进行自动登录,cookie是可以被仿冒的,怎么避免别人盗取你的cookie进行自动登录呢?另一个问题,发现很多人说不能把密码放到cookie里面进行自动登录,那自动登录还有什么别的办法么?

展开
收起
kun坤 2020-06-06 13:48:58 877 0
1 条回答
写回答
取消 提交回答
  • 我怎么感觉 在加个ip字段呢,只能你这台Ip能用这个密码来登陆######回复 @f223156 : 额,那就不行了.######回复 @妹夫 : 这办法是能取到, 但前提是你的访客和你的服务器在同一个局域网内######回复 @f223156 : http不可以,但是java可以啊,http://babyduncan.iteye.com/blog/892351######回复 @妹夫

    @止殇 : 你们想多了, http根本获取不到访问者的mac######而且mac可以仿造啊######

    第一种解决方案就是sessionID的值只允许cookie设置,而不是通过URL重置方式设置,同时设置cookie的httponly为true。

    第二种就是在每个请求里面加上token,每个请求里面加上一个隐藏的token,然后每次验证这个token,从而保证用户的请求都是唯一性。

    结合第一种和第二种更安全。

    ######回复 @xiaochong0302 : 这个不敢苟同,cookie是存在客户端的,客户端被人盗走cookie是你管得了的吗?而服务器我可以管着不让别人偷走了。######回复 @妹夫 : 都能拷贝你的cookie了,你还防个P,你要这样想,那服务器被被人抱走了怎么办?######谢谢哥们儿,第一种,只能防止xss攻击是么?别人拷贝了你的cookie到他的浏览器cookie文件夹里面照样可以实现自动登录。 第二种没怎么明白,请哥们儿不吝赐教啊######

    引用来自“viney”的答案

    第一种解决方案就是sessionID的值只允许cookie设置,而不是通过URL重置方式设置,同时设置cookie的httponly为true。

    第二种就是在每个请求里面加上token,每个请求里面加上一个隐藏的token,然后每次验证这个token,从而保证用户的请求都是唯一性。

    结合第一种和第二种更安全。

    第二种方式也很简单,每次请求的时候给隐藏域里加一个token知道,每次验证这个token,最好加上过期时间(token的过期时间)
    ###### @红薯  能不能介绍一下osc怎么实现自动登录的######

    以前我是这样搞的:

    把用户对象(包含了用户ID、用户名、是否登录..)序列化成字符串再加密存入Cookie。

    密钥是:客户端IP+浏览器Agent+用户标识+固定的私有密钥

    当cookie被窃取后,只要任一信息不匹配,就无法解密cookie,进而也就不能登录了。

    这样做的缺点是IP不能变动、频繁加密解密会加重CPU负担



    ######回复 @妹夫 : 又要安全性高,还要自动登录,根本就是伪命题么, 你看哪家银行网站会让你自动登录的。######恩,这样确实加大了仿冒用户登录的难度,但是要强制去匹配你的这些条件也是能做到的伐?这个确实是个解决办法。######防止cookie被盗取
    首先要防止程序中XSS漏洞出现
    其次设置cookie的HttpOnly方法

    参考:
    http://www.oschina.net/question/12_72706
    http://www.oschina.net/question/248973_113795
    ######

    o,如果被获取到cookie的话,你session也一样是死。

    你真的很害怕的话可以这样子:

    加密函数(用户id,服务器端密匙,客户端信息加密(ip,浏览器等))

    不可逆的话存 结果和用户id,可逆的话存结果

    ######

    排除和目标机器物理接触, 能截到cookie的信息的, user-agent之类的信息同样能获取, 所以,除非绑定IP, 不然怎么加密都是做给瞎子看而已

    说穿了, 排除诸如xss之类的程序安全问题, 唯有https才能最大限度的防止被嗅听或者劫持

    2020-06-08 11:25:00
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
安全机制与User账户身份验证实战 立即下载
低代码开发师(初级)实战教程 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载