猿问

php session安全吗?如何建一个安全的会话机制?

研究了几天session安全,得出几个观点,请指正:
可以xss通过获得cookie信息,包含sessionid
可以通过截取http,获得header信息,包含sessionid
以上两种法都有一定条件和难度
如果服务端单靠sessionid识别会话信息,那么通过xss获取了sessionid后,会泄露用户信息,如果再通过ip,useragent信息加以校验,可以减少风险
如果截取了http,换用https方式可以减少风险
即便是使用https,ssl证书也是可以伪造
结论:
xss漏洞更低级一些,但是造成的风险很大。
http截取,截取范围很小,风险小。当然,截取到admin的信息,那就不一样了。
http截取/ssl证书伪造的技术要求、环境要求较高,防治的成本也大。
慕无忌1623718
浏览 360回答 2
2回答
随时随地看视频慕课网APP

相关分类

JavaScript
我要回答