Session Hijacking 会话劫持和 Session Fixation 会话固定
Session Java About 418 wordsSession 的窃取
盗用SessionID
(对于Java Tomcat
而言就是Cookie
为JSESSIONID
的值),实现身份伪装。
防御策略
- 部署
HTTPS
防止SessionID
被窃取。 - 设置
HttpOnly
属性防止XSS
攻击。 - 客户端发生变化时,要求用户重新登录。例如使用
User-Agent
、IP
地址、MAC
地址等检测请求的一致性,并且加入Token
进行检验。 - 只接受服务器生成的
SessionID
。 - 设置会话超时属性,设定阈值强制会话过期。(如
Keycloak
默认Session
最大维持时间为10
小时)
补充
在Java
环境下SessionID
都是由服务端生成的。只要不把JSESSIONID
从浏览器的开发者工具中拷贝复制出来给到他人就不会出现问题。
现代浏览器同样不能跨站访问Cookie
。
相关链接
Views: 685 · Posted: 2024-01-20
————        END        ————
Give me a Star, Thanks:)
https://github.com/fendoudebb/LiteNote扫描下方二维码关注公众号和小程序↓↓↓
Loading...