- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
session 劫持
所以我有一个小问题。我正在尝试识别访问者,这很难通过 $_SERVER veriables 来实现,如以下问题所述:Preventing session hijacking .
可能的解决方案
为了比仅将 cookie 从客户端 A 复制到客户端 B(可悲的是 child 游戏)更难一些,我想收集一些信息并根据我存储的内容对其进行验证。在我的数据库中,我想存储用户代理、IP 地址、操作系统等内容。我将使用 MCRYPT 加密并存储。为了匹配用户,必须设置很多变量,这使得它比仅仅复制 cookie 内容以登录更难。
问题
这是我的问题开始的时候……用户代理和操作系统几乎完全相同。原因是它是具有相同可引导镜像的胖客户端。另一个问题是IP。数据中心的服务器连接到办公室。对于我们的应用程序(即使无法从外部访问),每个客户端的 IP 地址都是相同的。我发现我可以尝试使用 X-Forwarded-For header 来区分 IP 地址,从而使用户更加独特。
下一步是什么?
我想知道以下内容:如何确保始终设置 X-Forwarded-For 而无需客户端可以访问的任何内容?是否必须通过路由在那里添加一些东西?我们的连接是 https,所以我怀疑我是否可以“注入(inject)”一些东西。其次,如果我可以注入(inject)这样的东西,用户客户端可以这样做吗?
客户端位于我们的内部办公室网络中,并且无法从外部访问应用程序(在 php 中运行)
最佳答案
X-Forwarded-For
和 User-Agent
HTTP header 很容易被任何用户欺骗(就像将 cookie 从一台机器复制到另一台机器一样容易) .
Chrome 扩展程序,例如 Header Hacker可以在客户端上使用,并且由于您的站点使用的是 HTTPS,因此无法在途中添加这些 header (因为 header 需要添加到 OSI 应用层,而不是传输层)。
如果您担心用户相互复制 cookie,是否有任何机制可以阻止他们共享用户名和密码凭据?如果您确实设法实现了一些验证他们的 session 保留在同一台客户端计算机上的东西,他们难道不能简单地通过彼此登录来绕过它吗?
除了我的问题之外,对于解决方案,您可以将本地代理引入您的内部网络,纯粹用于连接到您在数据中心的站点。该站点应拒绝任何不是来自代理服务器 IP 的连接(将 Web 服务器或防火墙配置为仅接受代理服务器的客户端 IP 进行 Web 连接)。使用这种方法,您需要在代理上安装一个 SSL 证书,每个客户端机器都可以信任它。这将使代理服务器能够解密流量,添加适当的 IP 地址 header (覆盖客户端设置的任何内容),然后将其转发到您的服务器。然后,服务器代码可以安全地检查 X-Forwarded-For
header ,以确保它在每个用户 session 中保持不变。
如果这听起来是个不错的解决方案,请在有任何问题时发表评论,我会更新我的答案。
另外两个想法:
session_regenerate_id()
随机重新生成 session .这将更新创建请求的客户端的 session ID,然后使用相同 ID 的任何其他客户端将被注销,因为它们发送的是旧 session ID。实际上,您可以对每个请求执行此操作,以确保只有当前客户端在使用当前 session 。关于security - 将 X-Forwarded-For 信任为 "identify"访问者,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21354859/
我正在尝试为玩具语言实现一个解析器。 我已经编写了语法,但是当我尝试从 CST 创建 AST 时遇到了问题。 我定义了一个继承自 MyParserVisitor 的类哪里ASTNode是一个虚拟类,我
我想创建子类对象,它会与其他子类对象做出不同的 react (类可以欢迎另一个类,但不是全部)代码原理源自访客设计模式: class A { public : virtual bool isW
我正在玩 boost A* 算法,从在以下位置找到的示例开始:http://www.boost.org/doc/libs/1_37_0/libs/graph/example/astar-cities.
我正在为我的网站构建一个访问者和点击率计数器,当然,访问者每天是一个唯一的 ip,点击率是每次请求页面时! 我已经创建了数据库和系统来插入和更新我保存统计信息的表! 我正在苦苦挣扎的是,如何对日期进行
如何放弃使用 IE6 浏览我的网站? 就像是 : 如果 ie6 => 死 我正在使用 ASP.Net 谢谢 最佳答案 在asp.net中你可以查看Request.Browser在 Session_st
我目前正在编写解析器。解析器生成一个 AST,然后我使用各种遍历来处理它。 AST 是(简化的): type LiteralExpr = { readonly kind: 'literal',
我正在使用 Antlr4 的 C++ 访问者 api 来遍历解析树。但是,我正在努力使其正常运行。也就是说,我不确定如何使用 visitChildren(ParseTree *tree) 调用。 我为
我的问题是理论性的,而不是如何去做。我想知道专家们如何处理我将在下面描述的情况。 我有一个使用 Angular 和 Breeze 的 SPA。身份验证是基于 token 的。我在 Angular 中设
我有一棵树(在图形意义上)表示一棵树(在物理意义上)。树表示为 BGL 邻接列表,其中每个顶点包含半径和位置属性,即,我的图以以下形式定义 struct TreeVertexType { doub
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题吗? Update the question所以它是on-topic用于堆栈溢出。 关闭 10 年前。 Improve thi
是否可以将域限制为仅允许使用特定浏览器的访问者? 我正在构建一个应用程序,到目前为止它只在 Chrome 中进行过测试,所以我只想在 Beta 测试期间允许 Chrome 用户。基本上,我想在进行测试
你好,我正在尝试实现一个 AST Clang 访问者,这是我的代码。 class ExampleVisitor : public RecursiveASTVisitor { private:
我想构建一个访问者(用于 dikstra),并将 initialise_vertex 用作“颜色映射”修饰符。我想根据条件从搜索中排除一些顶点。所以我想在算法的初始部分将一些顶点设置为“黑色”。 cl
我正在尝试编写一个网站,提示每 10,000 名访问者输入一封可以存储在文本文件中的电子邮件。 我设置了一个点击计数器,它将访问者总数输出到一个文本文件中,因此是否可以将脚本设置为类似于 "如果 nu
我正在尝试将 AST 与 ANTLR4 一起使用,并使用以下文件: 生成器.java import org.antlr.v4.runtime.ANTLRInputStream; import org.
在 BGL 中,我不太明白如何在 bfs/dfs 搜索期间访问图中顶点的固有颜色(白色表示未触及,灰色表示已访问,黑色表示已完成)。 有人可以说明如何从 dfs/bfs 访问者中访问顶点的颜色吗?例如
当用户访问您的网站时,如何获取用户的信息? IP地址 苹果地址 用户个人资料名称 操作系统名称 操作系统版本 操作系统注册到(姓名/公司) 计算机名 浏览器名称 浏览器版本 ISP 名称/Intern
我最近开始使用 Amazon S3 为访问者提供图像,因为这会减少服务器负载。现在,出现了一个新问题:今天我查看了我的 AWS 账单。我注意到我有一大笔账单等着我——20 天内总共有 4TB 的 AW
session 劫持 所以我有一个小问题。我正在尝试识别访问者,这很难通过 $_SERVER veriables 来实现,如以下问题所述:Preventing session hijacking .
我有一个带有两个边定义的图,如下所示: isDepartment: [organisation] -> [organisation] hasAccess: [user] -> [organisatio
我是一名优秀的程序员,十分优秀!