Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
OWASP Webサイトで、上位10項目の1つに、認証または特権レベルの変更が成功したときに新しいセッションを再生成することを検討する必要があると記載されています。
これを行う正しい方法は何でしょうか?
同僚が私に言ったことの1つですが、私はテストしていません。ユーザーがブラウザータブを使用すると、各タブが独自のセッションを取得しないため、演習全体が無効になると思います。
ありがとう、ポール・スペランザ
使用している言語によっては、session.invalidate() のようなものを呼び出してからリダイレクトするだけで、新しいセッションが作成されます。