个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
我是 thinking about this并且 POST 似乎只是稍微不那么脆弱而且更难(要求用户单击某些东西)。
我读到了 token ID 和双重提交的 cookie,但我不确定有什么区别
http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Disclosure_of_Token_in_URL http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Double_Submit_Cookies
现在我有用户 ID(我表中的 PK)和 session ID,因此您不能简单地更改您的 cookie ID 并像其他人一样行事。现在似乎我将 session ID 作为 token 放入我的每个表单中并检查它们,因为攻击者无法猜出这些 token 。但是我不喜欢将 session ID 放入页面以供人们查看的想法。但真的,这有问题吗?除了让用户复制/粘贴 html 之外,是否存在由于 session ID 在 html 中以普通 View 显示而可能发生的任何攻击?
最佳答案
如果用户可以复制带有 token 的链接,这是非常不安全的。对于当前地址也是如此:如果您使用静态 session ID,则对外部站点的引用或屏幕截图将使 session 受到损害。即使您没有静态 session ID,用户也可以将鼠标放在链接上,该链接会显示在他的浏览器底部,然后截取屏幕截图,再次使他的 session 遭到破坏。
关于html - 将 GET 与 tokenID 一起使用以确保安全是个好主意吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2243127/
25
4
0
我正在为一个网站实现使用 google 登录的功能。我已经设法让用户使用 Google Javascript API 登录。谷歌表示,一旦我们得到tokenID,我们必须在后端服务器中验证它,以验证当
我需要获取 google+ signIn tokenId。 这是我的代码: var mGSO = GoogleSignInOptions.Builder(GoogleSignInOptions.DEF
我是 thinking about this并且 POST 似乎只是稍微不那么脆弱而且更难(要求用户单击某些东西)。 我读到了 token ID 和双重提交的 cookie,但我不确定有什么区别 ht
我正在尝试使用一些 Java RHS 来使用 GATE 中的斯坦福依赖解析器来获取依赖标记的字符串值,并将它们添加为新注释的功能。 我在仅针对 token 的“依赖项”功能以及从 tokenID 获取
我正在开发 MEAN 堆栈应用程序。对于 session 身份验证,我使用 express-jwt。 我的代码与express-jwt token 配合得很好,但是当我注销时,我想删除jwt toke
我是一名优秀的程序员,十分优秀!