如何保护web应用程序免受用户会话劫持
本文关键字:用户 会话 劫持 应用程序 web 何保护 保护 | 更新日期: 2023-09-27 18:18:45
我需要保护我的web应用程序(c#,MVC)免受用户会话劫持。这个web应用程序使用了很多AJAX组件。
一些编辑:我指的是防止会话标识符被拦截的保护。我在我的项目中有特定的架构:c#和返回我会话id的外部服务器上的授权点。这个会话id在客户端的javascript组件中使用。我想保护会话id不被替换。
https是唯一的方法吗?如果使用https,它会保护我不被拦截会话id吗?
首先,您应该阅读OWAP的会话管理备忘单:https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
第二:SSL防止一些特定的攻击,所以你需要它来保护你的会话id,但这不是你唯一要考虑的事情
第三:通过JavaScript访问会话ID不是一个好主意,因为如果存在跨站脚本等漏洞,它可能会被盗。
是真的有必要有这个会话id与JavaScript可用?这将是一个好主意,将其设置为cookie,设置HttpOnly(无JS-Access)和Secure-Flag(仅通过HTTPS传输)标志,并让浏览器透明地进行会话处理,因为cookie会随每个请求一起传输。