3回答

德玛西亚99

加密会话值将产生零效果。会话cookie已经是一个任意值，加密它只会生成另一个可以嗅探的任意值。唯一真正的解决办法是HTTPS。如果您不想在您的整个站点上执行SSL(可能您有性能问题)，您可能只需要使用SSL来保护敏感区域。要做到这一点，首先要确保您的登录页面是HTTPS。当用户登录时，除了常规会话cookie之外，还设置一个安全cookie(这意味着浏览器只能通过SSL链接传输它)。然后，当用户访问您的“敏感”区域之一时，将其重定向到HTTPS，并检查是否存在该安全cookie。一个真正的用户将拥有它，会话劫机者不会。

0 0

0