gpt4 book ai didi

security - 将 SignalR connectionid 暴露为安全风险

转载 作者:行者123 更新时间:2023-12-01 12:41:17 24 4
gpt4 key购买 nike

我正在开发一款使用 signalr 的聊天应用。我通过他们的 connectionid 关联每个用户。

我只是想知道如果我广播所有用户的 connectionids 以便任何人都可以在代码中看到它们,有人会造成任何问题吗?

最佳答案

据我所知,共享连接 ID 不是安全风险,但是共享连接 token 是一个安全风险。

根据我自己使用 SignalR 进行的测试,它不会检查消息的来源,而只会检查连接 token ,如果 session 经过身份验证(这这也是您需要在身份验证后重新连接的原因。

我仅通过替换连接 token 就成功地从另一台具有 2.0.2 版的 IP 上的另一台计算机欺骗了 SignalR 连接。

关于security - 将 SignalR connectionid 暴露为安全风险,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24368454/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com