php – 我们应该使用哪些技术来阻止通过粘贴cookie进行自动登录
发布时间:2020-12-13 21:42:31 所属栏目:PHP教程 来源:网络整理
导读:我读了 http://www.codinghorror.com/blog/2008/08/protecting-your-cookies-httponly.html Log into a website,copy the essential cookie values,then paste them into another browser running on another computer. That’s all it takes. It’s quite a
|
我读了
http://www.codinghorror.com/blog/2008/08/protecting-your-cookies-httponly.html
我的问题是,如果我们使用php / aspnet会话,这种方法是否也有效. 如果确实有效,我们可以采用哪些技术(如Web开发人员)来阻止此技巧的发挥.基本上我不希望用户只能通过粘贴cookie来登录他的帐户,密码是必须的. 如果无法实现上述目标,是否意味着即使是像Gmail这样的Google产品,我也可以通过某种方式登录我的帐户而无需我的密码? 解决方法
会话是会话 – 通过在cookie中存储ID令牌来完成.你不能阻止在浏览器之间手动复制cookie.
您可以尝试在登录时记录原始用户代理字符串,并每次比较(如果他们使用Firefox登录,并突然使用Opera,hmmMmMmmmmmm).对于IP地址也是如此……但IP地址对于移动用户和人们恐惧多宿主代理服务器系统是有问题的,例如大多数AOL等.他们的IP可能会针对每个请求进行更改. 没有万无一失的方法可以防止无法绕过的cookie共享(更改浏览器的UA以便它们声称是单一类型/版本),或者产生误报(由于代理而导致的IP更改). (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |