0

XSS について読んでいて、IP とユーザー エージェントをチェックすることが、Cookie の盗用を防ぐ良い方法であることがわかりました。SOでテストしたところ、IPまたはユーザーエージェントを変更した後、SOがログアウトしないことがわかりましたが、すべてのヘッダーをコピーして別のプログラムを使用してSOに送信すると、送信されました。IP とユーザー エージェントが重要ではなく、すべての http ヘッダーが同じ場合、何かが異なることをどのように検出できますか?

4

1 に答える 1

1

たとえば、SE は more way auth を使用します。SE は Cookie のようなトークンをオフライン データとしてサブドメインに保存し、それをサーバーに送信してデータが何らかの方法で検証されます。ログインサイトに送信される一時的なトークンを取得すると、ログインしたことになります。

それが役立つことを願っています。

于 2012-06-01T04:29:24.447 に答える