个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
26
4
我已经实现了自己的 SessionHandlerInterface,它可以将用户 session 和持久 session 读/写到 Redis 服务器。用户 session cookie 设置为在浏览器关闭时过期,因此需要清理关联的 Redis session 。例如,我可以通过设置 30 分钟的到期时间来清理它,这将导致用户在 30 分钟后收到一个新 session ,而不会由于持久 session 的存在而中断。在用户登录时,我会自动发出一个持久性 cookie,让他们在几个月内保持登录状态。
如果用户以编程方式获取用户 session cookie 和/或持久性 cookie,将其删除,然后继续无限期地请求和删除 cookie,我该如何防止 D/DoS 攻击?本质上是在 Redis 中创建无限数量的孤立用户或持久 session ,这些 session 最终将被清理。即使我将 session cookie 的生命周期减少到 1 分钟以稍微降低风险,它仍然会留下一个持久的 cookie 问题,它们不会设置为几个月。这很容易使我的 session 管理器崩溃并阻止所有用户登录。
我知道防火墙为此内置了解决方案,但我想知道如何在应用程序级别减轻这种攻击。
此问题之前已提出:Orphaned Session Management Records in Database. How to handle the issue? DB Stability Risk
最佳答案
我相信我有一个在利用防火墙之外的解决方案。
在用于用户 session 和持久 session 的 Redis 中,我将利用哈希并将用户 ID 与任何相关信息一起存储。在必须创建新用户或持久 session 时,将在 Redis 中查找任何存在的用户和/或持久 session (取决于请求的是用户 session 还是持久 session ),如果存在则尚未过期,要么覆盖它,要么删除它并创建一个新的。
这应该保证在任何时候一个用户都不能存在超过一个用户 session 或持久 session ,并且应该使任何 DoS session 攻击无效。
关于php - 防止 PHP/Redis Session D/DoS 攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54724814/
26
4
0
关闭。这个问题需要debugging details .它目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and th
我试图用这种形式简单地获取数字 28 integer+space+integer+integer+space+integer我试过这个正则表达式 \\s\\d\\d\\s 但我得到了两个数字11 和
最近一直在学习D语言。我一直对运行时感到困惑。 从我能收集到的关于它的信息中,(这不是很多)我知道它是一种有助于 D 的一些特性的运行时。像垃圾收集一样,它与您自己的程序一起运行。但是既然 D 是编译
想问一下这两个正则表达式有区别吗? \d\d\d 与 \d{3} 我已经在我的本地机器上使用 Java 和 Windows 操作系统对此进行了测试,两者都工作正常并且结果相同。但是,当在 linux
我正在学习 Go,而且我坚持使用 Go 之旅(exercise-stringer.go:https://tour.golang.org/methods/7)。 这是一些代码: type IPAddr
我在Java正则表达式中发现了一段令我困惑的代码: Pattern.compile( "J.*\\d[0-35-9]-\\d\\d-\\d\\d" ); 要编译的字符串是: String string
我在 ruby 代码上偶然发现了这个。我知道\d{4})\/(\d\d)\/(\d\d)\/(.*)/是什么意思,但是\1-\2-\3-\4 是什么意思? 最佳答案 \1-\2-\3-\4 是 b
我一直在努力解决这个问题,这让我很恼火。我了解 D 运行时库。它是什么,它做什么。我也明白你可以在没有它的情况下编译 D 应用程序。就像 XoMB 所做的那样。好吧,XoMB 定义了自己的运行时,但是
我有两个列表列表,子列表代表路径。我想找到所有路径。 List> pathList1 List> pathList2 当然是天真的解决方案: List> result = new ArrayList>
我需要使用 Regex 格式化一个字符串,该字符串包含数字、字母 a-z 和 A-Z,同时还包含破折号和空格。 从用户输入我有02-219 8 53 24 输出应该是022 198 53 24 我正在
目标是达到与this C++ example相同的效果: 避免创建临时文件。我曾尝试将 C++ 示例翻译为 D,但没有成功。我也尝试过不同的方法。 import std.datetime : benc
tl;dr:你好吗perfect forwarding在 D? 该链接有一个很好的解释,但例如,假设我有这个方法: void foo(T)(in int a, out int b, ref int c
有什么方法可以在 D 中使用abstract auto 函数吗? 如果我声明一个类如下: class MyClass { abstract auto foo(); } 我收到以下错误: mai
有没有人为内存中重叠的数组切片实现交集?算法在没有重叠时返回 []。 当 pretty-print (使用重叠缩进)内存中重叠的数组切片时,我想要这个。 最佳答案 如果您确定它们是数组,那么只需取 p
我已经开始学习 D,但我在使用 Andrei Alexandrescu 所著的 The D Programming Language 一书中提供的示例时遇到了一些麻烦。由于 int 和 ulong 类
如何创建一个不可变的类? 我的目标是创建一个实例始终不可变的类。现在我只是用不可变的方法和构造函数创建了一个“可变”类。我将其称为 mData,m 表示可变。然后我创建一个别名 alias immut
不久前我买了《The D Programming Language》。好书,很有教育意义。但是,我在尝试编译书中列出的语言功能时遇到了麻烦:扩展函数。 在这本书中,Andrei 写了任何可以像这样调用
我在 D http://www.digitalmars.com/d/2.0/lazy-evaluation.html 中找到了函数参数的惰性求值示例 我想知道如何在 D 中实现可能的无限数据结构,就像
这个问题在这里已经有了答案: 12 年前关闭。 Possible Duplicate: Could anyone explain these undefined behaviors (i = i++
当前是否可以跨模块扫描/查询/迭代具有某些属性的所有函数(或类)? 例如: source/packageA/something.d: @sillyWalk(10) void doSomething()
我是一名优秀的程序员,十分优秀!