我需要对基于cookie的会话如何工作有一定的了解。我正在构建一个应用程序,在该应用程序中,我对用户进行身份验证,并且在成功验证身份后,我将GUID标识为会话中的用户,并将其作为cookie继续保存。现在,当用户登录时,有什么办法阻止某人嗅探流量,窃取用户cookie的内容并在他们自己的末端创建cookie并以该用户身份登录我的网站?另一种情况可能是,如果我可以实际访问该人登录的计算机,则我也可以窃取cookie的内容并以用户身份冒充。基于Cookie的会话安全
什么是防止某人嗅探流量,窃取用户cookie的内容并在他们自己的末端创建cookie并以该用户身份登录我的网站?
SSL - 停止该方法的唯一方法是在HTTPS上运行您的网站。
我只好到该人已被记录在
一旦你有一台机器所有的安全方法是没有实际意义的物理访问机器的物理访问。你无能为力。
我想你在这里有两个问题。关于第二个,你不应该在cookie中存储一个会话密钥,并且让它保持比会话更长的时间,将cookie上的超时设置为快速过期并且尽快使服务器上的会话无效,并且cookie变为无用。如果您通过网络传输重要信息,请使用https。
阅读:http://www.linuxforu.com/2009/01/server-side-sessions/
了谷歌搜索 的几秒钟这篇文章解答了您关于防止有人从嗅探流量,窃取用户的cookie的内容,并创建自己端的cookie,并登录到问题的作为那个人的网站。