个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我有一个移动网站,作为安全措施的一部分,我希望用户“注册”他们的设备,这样我就可以限制用户可以访问该网站的设备数量。我的想法是,对于"new"设备,让它们通过双因素身份验证过程,并将服务器发送的 GUID 存储在 httpOnly cookie(通过 SSL)中,该 cookie 将保存 GUID。当用户访问网站并使用用户名和密码登录时,服务器会将该 cookie 与数据库中的用户记录进行比较,如果匹配,则让他们登录。
所以我的问题是:这是 httpOnly cookie 的有效/安全使用吗?我描述的“设备注册”方法有意义吗?
谢谢!
最佳答案
这将阻止临时用户在多个设备上使用您的服务,但很容易规避,因为他们可以将 cookie 复制到另一台设备。 HttpOnly flag 只是限制客户端脚本(例如 JavaScript)访问 cookie,它不会阻止用户自己访问 cookie 或在 cookie jar 中以任何方式强制对其进行加密。
您可以通过更多一点的工程设计来使您的解决方案发挥作用:为每个设备滚动 token 。我的意思是,它会在每次登录时为每个客户端提供一个新的设备 ID,并且此机制也会使旧的设备 ID 失效。这将导致拥有原始 Cookie 副本的第二台设备在没有单独注册且不计入您的设备限制的情况下无法再使用您的服务。
此外,根据所需的安全级别,使用 GUID 以外的其他内容可能会更好,因为它们可能是可预测的:
关于javascript - 使用 httpOnly cookie 进行设备注册,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18429945/
24
4
0
我们有一个使用 OC4J 容器在 Oracle 应用服务器 J2EE 10g 10.1.3.5.0 上运行的旧应用程序。要清除 Veracode 动态扫描缺陷 CWE ID-402(以及最佳实践),我
我已在响应 header Set-Cookie 中设置了 HttpOnly 标志,如下所示 String sessionid = httpReq.getSession().getId(); httpR
我使用的是 Servlet 3.0,我想用 HttpOnly 标志保护我的 cookie。我的 web.xml 是 true
服务器已在浏览器上设置了一个仅限 http 的 cookie uid。我需要找出这个 cookie 是否存在并在我的 javascript 中采取一些行动。我知道 javascript 无法读取 ht
我对 cookie 中的 HTTPOnly 属性有点困惑。我知道它的主要用途是防止 XSS 攻击。让我们假设有一个 Web 应用程序为 cookie 设置了 httponly。为此,我使用了 Fidd
是否可以将 django csrf cookie 设置为仅限 http?同理SESSION_COOKIE_HTTPONLY使用 session cookie,但对于 csrf 呢? 最佳答案 新设置,
有没有办法设置请求 cookie httpOnly ?如果不是为什么我们不能设置它?我已将响应 cookie 设置为 httpOnly 使用 weblogx.xml/weblogic 服务器。 最佳答
哪些浏览器支持 HttpOnly cookie,从哪个版本开始支持? 请参阅http://www.codinghorror.com/blog/archives/001167.html有关 HttpOn
我们使用 JQuery AJAX 登录。登录服务发出 HTTP 302,位置是登录用户的 GET,或者(在登录失败的情况下)始终返回未经授权的 HTTP 状态的 REST 端点。在 302 的同时,我
我在创建 HttpOnly Cookies 时遇到问题,我使用以下代码创建新的 cookie: //A.aspx HttpCookie ht = new HttpCookie("www
我必须为服务器发送的所有 cookie 设置 httpOnly 标志。我的场景是: 使用独立的网络登录登录(我无法访问代码)。 如果成功 -> 重定向到我的 webApp。 我已成功将 httpOnl
我需要在我的java代码中将HttpOnly cookie设置为 session cookie。 为了获取非 HttpOnly cookie,我使用了 Jsoup,但现在却被 HttpOnly coo
我想使用 HttpOnly cookies,我在 Java 中设置如下: ... Cookie accessTokenCookie = new Cookie("token", userToken);
我正在开发我网站的“记住我”功能,我正在使用 session_set_cookie_params 来保持 session 有效,即使用户决定关闭他或她的浏览器也是如此。我遇到的问题是浏览器会删除 co
如果我的应用程序在客户端上放置了 HttpOnly cookie,然后需要删除它们,您如何才能完全删除它们? 最佳答案 您可以在用户访问您的网站时使 cookie 过期,例如: HttpCookie
是否可以删除设置为 HttpOnly:true 的浏览器 cookie? 我的登录端点很简单: async login(@Ip() ipAddress, @Request() req, @Res(
我相信我知道答案,但我只是想确认我没有遗漏任何东西。我们有一个网页,我们希望将 HttpOnly cookie 从 WkWebView 传回 native 代码。我已经尝试了我能想到的一切,但它不会让
我已经在我当前的项目中使用了 CORS,尽管我似乎无法正常工作的一件事是 cookie。 现在我得到了 cookie,服务器发出它并将其发送下来,firefox 接受它,我可以在 firebug co
我在 websphere 中为 jsession cookie 设置了以下属性 com.ibm.ws.webcontainer.HTTPOnlyCookies . 知道如何最好地在 Firefox 或
有没有办法以某种方式在 electron 中获取 httpOnly cookie 的值? 我在加载主应用程序之前预加载的网站会发送一个包含 key 的 httpOnly cookie。我的 http
我是一名优秀的程序员,十分优秀!