- 主题:问个有关session的问题
按照http协议,web服务器是根据session来识别和维护各个http请求的状态的
如果我截取到了某个人的http请求的sessionid,然后伪装成这个sessionid来发请求,是不是就有很大的安全隐患了,特别是对数据隐私特别敏感的网站?
一般的网站(比如电商)是怎么避免这种安全隐患的?
谢谢
--
FROM 60.194.113.*
嗯
看来主要是通过增加一些验证环节来确保数据的安全。
谢谢~
【 在 vonNeumann 的大作中提到: 】
: 是。
: 所以有的网站在登录状态全程 https
: 显示用户关键信息(真名、手机号、身份证号、银行卡号)时,非必要时可以不全部显示,只显示尾号
: ...................
--
FROM 60.194.113.*
你提到的这三种方式我们会注意的。谢谢
【 在 dhcn 的大作中提到: 】
: SessionID本身的保护:1是要对Cookie设定HTTPOnly,二是绝对防止XSS.三就是CSRF,本质上它主要还是是利用你本地的SeesionID
--
FROM 60.194.113.*