XSS について読んでいて、IP とユーザー エージェントをチェックすることが、Cookie の盗用を防ぐ良い方法であることがわかりました。SOでテストしたところ、IPまたはユーザーエージェントを変更した後、SOがログアウトしないことがわかりましたが、すべてのヘッダーをコピーして別のプログラムを使用してSOに送信すると、送信されました。IP とユーザー エージェントが重要ではなく、すべての http ヘッダーが同じ場合、何かが異なることをどのように検出できますか?
XSS について読んでいて、IP とユーザー エージェントをチェックすることが、Cookie の盗用を防ぐ良い方法であることがわかりました。SOでテストしたところ、IPまたはユーザーエージェントを変更した後、SOがログアウトしないことがわかりましたが、すべてのヘッダーをコピーして別のプログラムを使用してSOに送信すると、送信されました。IP とユーザー エージェントが重要ではなく、すべての http ヘッダーが同じ場合、何かが異なることをどのように検出できますか?