我以用户1.和user2的身份在另一个浏览器中登录。我在cookie中有一个用户标识会话值。当我复制user1 Cookie值并将其粘贴到user2 Cookie值中时,用户2被更改为user1。
浏览 18提问于2019-07-04得票数 0
因为HTTP(s)是无状态的,所以它不记得用于身份验证和为用户分配权限的用户名/密码组合。我读到过,为了克服这个限制,很多网站都会通过cookie (如果我是正确的话) sessionId cookie来让用户登录。有两个问题我不确定:如果有人复制/粘贴我的会话id cookie</em
浏览 0提问于2022-03-12得票数 0
回答已采纳
1回答
我的问题是不同的--就像当用户登录时,会话是在服务器上创建的,它向客户端(浏览器)存储一个唯一的id (浏览器),如果我复制加密签名的cookie和其他应用程序用来识别机器、粘贴它或在另一台机器上创建它的任何相关数据
浏览 2提问于2015-01-26得票数 1
我正在使用烧瓶登录集成在我的烧瓶应用程序的会话管理。但是,如果我将session_protection设置为强,则记住me功能不起作用,但是,如果将其设置为basic,则工作非常好。user:要从数据库中获取用户cursor.execute('SELECT * FROM users WHERE email = %s', (email,))
return
浏览 1提问于2016-10-08得票数 7
回答已采纳
所以我用php会话ID cookie做了一些测试。我知道数据存储在服务器上,但是会存储一个具有唯一ID的cookie,以便服务器在浏览时能够识别客户端。所以,我得到了cookie的ID并在另一台计算机上打开了firefox,我将那个phpsession cookie编辑到了我登录的计算机上的id .不出所料,我登录了。我所能做的就是检查http用户代理和IP的前三组数字(xxx.123)没有改变(以避免动态IP问题)。不过,我想知道使用永久HTTPS连接是否会使php<
浏览 0提问于2014-05-05得票数 0
回答已采纳
看来,CSRF保护属性"SameSite=Strict“并非在所有情况下都提供所需的保护。
用户访问https://attack-1abc2def.com。跨源表单发布到https://example.com/foo不发送会话<
浏览 5提问于2019-12-04得票数 1
回答已采纳
因此,我制作了一个php脚本,允许我使用基本的http-身份验证从另一个受密码保护的网页下载一些特定的文件,我只需将用户名和密码放在URL中,比如username:password@url.com。它没有问题,但我很难弄清楚如何在网页上使用基于cookie会话的身份验证来做同样的事情。简而言之,当用户转到我的PHP网页时,他们应该被重定向到外部网页的登录表单,然后重定向回我的PHP网页。此时,我的脚本应该能够使用用户凭据与外部网页进行通信。做这件事最简单的方法是什么?
浏览 1提问于2018-06-21得票数 0
回答已采纳
2回答
我已经在我的登录表单中构建了一个PHP登录网络,人们可以登录,如果信息是正确的,那么他们将被重定向到welcome.php。现在,任何人都可以直接访问这个页面-这是我的登录代码require_once "config.php";session_start();
if(isset($_SESSION["loggedin"])
浏览 2提问于2019-10-13得票数 2
回答已采纳
如果我打开“在数据库中保存会话数据”,则所有会话数据都保存在cookie和db中。虽然这提高了安全性(我还加密了所有数据),但我希望只在DB中保存非常敏感的会话数据,如"is_logged_in“、" session ->set_userdata("is_logged_in”、"1"
浏览 5提问于2013-09-03得票数 0
我试图阻止用户更改"ASP.NET_SessionId"Response.Cookies["ASP.NET_SessionId"].Value = GenerateHashKey();下面是一些我尝试过却没有成功的代码:
protected void Application_BeginRequestASP.NET_SessionId"].Value = Req
浏览 2提问于2020-01-08得票数 1
1回答
好的,我看到了这个例子,就像cookie是加密的。first proxy secret: 'keyboard cat', saveUninitialized: true,}))
这是我的问题,假设A和B坐在一起,B复制A的请求,其中包括会话信息(加密cookie),并将其放入请求中。从服务器端,它检查会话信息,它对A<
浏览 4提问于2021-06-20得票数 0
回答已采纳
1回答
我把关于我的用户的概要文件数据放在一个session变量中。</c:if>
如果可以修改会话,还可以使用什么其他解决方案来阻止用户更改他们的配置文件呢?在我的情况下使用会话变量可以吗?还是cookie更好?
浏览 2提问于2015-04-13得票数 3
每个用户可以使用他的帐户登录,并将有他的功能。当他们登录时,设置了一个cookie来保持会话。但是,当我从该用户注销并在我的应用程序中使用另一个用户登录时,cookie继续设置。我尝试使用store保存所有用户Cookie,但当我再次尝试设置它们时,我发现有一个名为"__Host-GAPS“的受保护Cookie。在我阅读时,所有以"__Host“和"__Secure”开
浏览 15提问于2020-11-30得票数 1
1回答
CSRF深度保护
、、、
我目前在我的php应用程序中添加了一个CSRF令牌保护机制。正如我所读到的,惟一的要求是每个用户都有一个惟一的令牌,这是我在php7中使用random_bytes生成的。我担心的是,如果攻击者使用用户的浏览器发送http请求,浏览器不会发送令牌的会话变量吗?(因为用户具有与令牌关联的会话the )。
我将令牌存储在一个从会话变量回显的隐藏值中。例如:我的令牌存储在会话变量中,然后攻击者将我发送到具有csrf保护的更改密码页面,验证将不
浏览 1提问于2015-09-24得票数 0
我正在尝试使用OpenIddict核心DataProtection来设置ASP.NET,但是,在尝试启动应用程序时,我仍然会遇到异常:
InvalidOperationException: At least one encryption key must be registered in the OpenIddict server options. Consider registering a certificate using 'services.AddOpenIddict().AddServer().AddEncryptionCertificate()' or 's
浏览 29提问于2021-12-11得票数 1
1回答
我一直在阅读关于使用go和gorilla工具包实现csrf和fiddliN的文章。我还使用gorilla会话,我已经实现了它来将用户id存储在加密的cookie中。cookie被解密,我使用我编写的中间件从数据库中获取用户,其中包含现在未加密的密钥值存储……
如果用户通过oauth2提供者通过身份验证创建会话cookie,如果所有需要这种保护的视图都只允许授权用户使用,我还需要实现
浏览 20提问于2017-03-15得票数 0
回答已采纳
1回答
我可以看到,它正在使用,根据存储在cookie和散列算法和键区中的会话id获取服务器上的cookie值。https://github.com/gorilla/sessions/blob/master/store.go
因此,如果我正确理解,这只能在攻击者接管该框时保护会话数据。因为他将在获取所有用户会话id的会话值时遇到困难。但是,如果他已经接管了
浏览 0提问于2015-04-21得票数 1
回答已采纳
2回答
在提交用户名密码登录表单(可能通过https进行了某种加密)之后,服务器如何维护用户登录的信息?
用户提交登录表单,服务器对用户进行身份验证并返回一个页面。但是,当用户点击该页面上的链接时,服务器如何知道它正在接收的请求来自经过认证的某人,并且因此服务器知道发送该新页面的html是安全的。
浏览 5提问于2011-06-06得票数 2
回答已采纳
我正试图用Express.js应用程序的Phantom.js脚本访问护照保护页面。
如何在不知道护照的情况下模拟登录用户?我使用Passport.js作为带有LocalStrategy和MongoStore的auth库,以保护mongo数据库中的会话。我想知道是否可以在会话集合中创建记录,并使用Phantom.js (phantom.addCookie(...))设置生成的cookie,以模拟没有用户密码的特定登录用户?我能否为后端的
浏览 2提问于2014-02-24得票数 1
云服务器
ICP备案
实时音视频
对象存储
云直播
腾讯云开发者
