php – 会话劫持从另一个角度

>为每个页面重新生成会话的ID
>在登录时将用户的IP与IP进行比较
>在登录时将用户的user_agent与代理进行比较
>会议时间短

等等

我已经做了所有我可以想到的停止劫持,但我仍然找到一个可能的情况,并想知道是否有任何想法.

想象一下,在SNAT / DNAT的防火墙后面有两个用户,所以这两个用户来自同一个IP.它们都是同一个地方提供的相同的机器.一个连接到该站点并登录,另一个复制PHPSESSID cookie,并且可以简单地窃取会话.

这可能听起来像一个极端的例子,但是这与我的工作场所非常相似,每个人都在防火墙后面看起来是相同的IP,所有的机器都由IT团队管理/提供,所以都有相同的版本的浏览器,操作系统等

我试图想到另一种方式(服务器端)停止劫持或进一步减少它,我在想一个嵌入到每个URL(每页更改)并被检查的令牌.

我正在寻找想法或建议,如果您想提供代码或示例欢迎,但我更感兴趣的开箱即用的想法或评论我的标记想法.