php - session_regenerate_id 和 Chrome 预取/渲染问题

Question

我对某些 session 功能和 Chrome 进行预取/呈现的方式有疑问。我正在尝试将一个论坛软件 (esoTalk) 与一个自定义的 laravel 4.3 应用程序连接起来。我有身份验证事件监听器，导致 laravel 创建一个 php session (除了内置的 laravel session )，允许论坛和应用程序共享身份验证详细信息。在访问论坛时，如果用户未登录 - 但此共享信息存在(即用户已登录 laravel 应用程序)，论坛将使用 session 中可用的信息登录该用户。

除了 Chrome 的预取功能出现故障外，大多数情况下这都可以正常工作。如果我使用调试器监控论坛，我可以看到当我输入论坛 url 但在我按下回车键之前，chrome 将访问该论坛。通过调试器，我可以看到它完成了它需要做的一切，并成功登录。作为最后一步，论坛重新生成 session ID 以停止劫持。这就是它崩溃的地方。看起来 chrome 忽略了新的 session ID(通过 http SetCookie header 发送)，所以当我按下回车键时，我使用原始 session ID 进入论坛(并发出全新的请求)。此 ID 不存在，因此我设置了一个新 ID，因此失去了登录状态。对于用户来说，这就像他们从未登录过一样。

我在谷歌上搜索了关于如何解决这个问题的建议。我不愿意删除 session ID 重新生成，因为它确实用于安全目的。我也无法禁用 chrome 预取/渲染。总而言之，我似乎有点不知所措。

我已经创建了一些复制它的代码。尽管它依赖于预渲染的启动(因此您需要多次通过地址栏点击每个文件)

// test1.php

<?php

function regenerateToken()
{
    session_regenerate_id(true);
    $_SESSION["token"] = substr(md5(uniqid(rand())), 0, 13);
    $_SESSION["userAgent"] = md5($_SERVER["HTTP_USER_AGENT"]);
}

// Start a session.
session_set_cookie_params(0, '/');
session_name("SessionBork_Test_session");
session_start();

$_SESSION["SentryUserId"] = '99';

regenerateToken();

header('Content-Type: text/plain');
foreach ($_SESSION as $k => $v) {
    echo $k . " = " . $v . "\n";
}

依次访问 test1.php 和 test2.php，您应该会看到一堆 session 变量输出。一旦预呈现/获取开始，您就会开始收到一条损坏的消息。

// test2.php
<?php

function regenerateToken()
{
    session_regenerate_id(true);
    $_SESSION["token"] = substr(md5(uniqid(rand())), 0, 13);
    $_SESSION["userAgent"] = md5($_SERVER["HTTP_USER_AGENT"]);
}

// Start a session.
session_set_cookie_params(0, '/');
session_name("SessionBork_Test_session");
session_start();

if (empty($_SESSION["token"])) regenerateToken();

// Complicate session highjacking - check the current user agent against the one that initiated the session.
if (md5($_SERVER["HTTP_USER_AGENT"]) != $_SESSION["userAgent"])
    session_destroy();

// Log in a the user based on the SentryUserId
// ... logging in, setting userId, regenerating session
$_SESSION["userId"] = '10';
regenerateToken();

header('Content-Type: text/plain');
foreach ($_SESSION as $k => $v) {
    echo $k . " = " . $v . "\n";
}
if ( ! isset($_SESSION['SentryUserId'])) echo "\n--\nPrerendering brokeded me.";

如果您可以在 IDE 中将其连接到 xdebug 或其他东西，您应该会看到隐藏的预渲染命中 test2.php(在响应中看起来绝对正确)，然后当您按下 enter 时随后的实际命中它忘记了你是谁。

Answer 1

解决此问题的一种方法是检测预取，而不是在这些加载上生成新的 session ID。有关在各种浏览器中检测预取的信息，请参阅此 Stack Overflow:HTTP header to detect a preload request by Google Chrome

此外，我认为有更好的方法来防止 session 劫持(例如，将 session 绑定(bind)到 IP 地址、浏览器签名等)

此外，您的代码中可能还有第二个错误:调用 session_destroy() 会破坏 session 并关闭用户 session 。您需要在调用 session_regenerate_id() 之前调用 session_start()。请参阅文档 here和示例 here .