php - JQuery 为使用 HTML5 localStorage 存储的身份验证 token 添加过期功能？

Question

我正在使用 JQuery Mobile 制作一款手机游戏，这是一个多页面模板(因此所有页面都在 1 个 html 文件中，这使得它可以与 PhoneGap 一起使用)。

由于它是 HTML，所以我使用 JQuerys $.post 函数将数据发送到 php 脚本，例如 login.php、register.php，这些脚本从 MySQL 数据库添加/更新/删除数据。

当我$.post到login.php时，经过身份验证，我返回用户ID，然后使用CryptoJS AES对其进行客户端加密，将其存储在HTML5的localStorage中，当我需要向 protected 页面发出请求时，发送此加密的userID，在服务器端对其进行解密，并在假设用户已通过身份验证的情况下执行 MySQL 命令。

这个问题与 cookie 不同，localStorage 变量可以持续很长时间，我相信如果可以执行 XSS，这将使我的应用程序可能容易受到 session 劫持。

我希望代表我的用户尽可能保证安全，有人可以告诉我如何正确实现针对我所描述的 session 劫持弱点的防护措施吗？

Answer 1

通常的 php session_start() 方法可以通过 HTTPS 使用，我认为它是最适合您的解决方案。让服务器为您处理 session 。正如 SilverlightFox 所指出的，使用 http only session cookies 是个好主意。 。在开始 session 之前，请使用 session_set_cookie_params像这样。

//10 minute session, forces https only and attempts to set the httponly flag
session_set_cookie_params(600, '/', '.domain.com', true, true);
session_start();

您还应该查看基于 token 的身份验证，因为它也涵盖了“访问控制”。

注意:为了防止“中间人”攻击，这两种方法都要求通过 HTTPS 发送/接收任何 cookie/ token 。

这是网络应用程序的常见问题。真心推荐this blog article因为它更深入地解释了这个问题。但我还必须指出您的方法中的一些主要安全漏洞。

首先，在客户端进行任何类型的加密都被认为是不安全的，因为客户端必须在加密之前处理“敏感”明文数据。任何人都可以查看客户端代码并了解发生了什么。

此外，攻击者可能能够弄清楚如何加密(从而欺骗)他们想要的任何 ID，因为共享 AES key 需要可供客户端加密代码使用。

HTML5 localStorage/sessionStorage 只是一个可以跨请求持久保存的数据存储。由于浏览器无论如何都不会进行导航，因此与普通的 javascript 变量相比，您不会获得任何好处(除了在用户决定刷新/重置时可能能够重新加载状态之外)。当涉及到身份验证时，它没有真正的用处。