- 主题:问个有关session的问题
按照http协议,web服务器是根据session来识别和维护各个http请求的状态的
如果我截取到了某个人的http请求的sessionid,然后伪装成这个sessionid来发请求,是不是就有很大的安全隐患了,特别是对数据隐私特别敏感的网站?
一般的网站(比如电商)是怎么避免这种安全隐患的?
谢谢
--
FROM 60.194.113.*
是。
所以有的网站在登录状态全程 https
显示用户关键信息(真名、手机号、身份证号、银行卡号)时,非必要时可以不全部显示,只显示尾号
有的网站在关键操作(比如涉及钱)的时候要增加额外的验证,比如输入支付密码,比如手机短信验证……
【 在 zhima (芝麻) 的大作中提到: 】
: 按照http协议,web服务器是根据session来识别和维护各个http请求的状态的
: 如果我截取到了某个人的http请求的sessionid,然后伪装成这个sessionid来发请求,是不是就有很大的安全隐患了,特别是对数据隐私特别敏感的网站?
: 一般的网站(比如电商)是怎么避免这种安全隐患的?
: ...................
--
修改:vonNeumann FROM 211.99.222.*
FROM 211.99.222.*
SessionID本身的保护:1是要对Cookie设定HTTPOnly,二是绝对防止XSS.三就是CSRF,本质上它主要还是是利用你本地的SeesionID
【 在 zhima 的大作中提到: 】
: 按照http协议,web服务器是根据session来识别和维护各个http请求的状态的
: 如果我截取到了某个人的http请求的sessionid,然后伪装成这个sessionid来发请求,是不是就有很大的安全隐患了,特别是对数据隐私特别敏感的网站?
: 一般的网站(比如电商)是怎么避免这种安全隐患的?
: ...................
--
修改:dhcn FROM 119.57.128.*
FROM 119.57.128.*
嗯
看来主要是通过增加一些验证环节来确保数据的安全。
谢谢~
【 在 vonNeumann 的大作中提到: 】
: 是。
: 所以有的网站在登录状态全程 https
: 显示用户关键信息(真名、手机号、身份证号、银行卡号)时,非必要时可以不全部显示,只显示尾号
: ...................
--
FROM 60.194.113.*
你提到的这三种方式我们会注意的。谢谢
【 在 dhcn 的大作中提到: 】
: SessionID本身的保护:1是要对Cookie设定HTTPOnly,二是绝对防止XSS.三就是CSRF,本质上它主要还是是利用你本地的SeesionID
--
FROM 60.194.113.*