彼のセッションが乗っ取られた場合でも、Webサイトのユーザーデータを保護するための追加のセキュリティ対策を考えていました。ポインタを教えてください。また、セキュリティの強化を考えている他の人にも役立つかもしれません。
私の計画は、ブラウザのローカルストレージでセッションIDのような追加のキーを使用することです。ここで、一部のブラウザでは機能しない可能性があるという議論がありますが、とにかく私のアプリケーションはWebソケットを使用しているので、ローカルにあると想定できます。ストレージも。
したがって、ユーザーがログインすると、ローカルストレージに保存するキーが割り当てられます。その後、POSTまたはAJAXを介してサーバーから要求される安全なデータについては、要求の一部としてこのキーを含める必要があります。キーはセッションID検証の上にあります。
皆さんの考えでは、これにより、セッションハイジャックに対するセキュリティが少し強化されます(100%ではない可能性がありますが、それでもハッカーの生活が困難になる可能性があります)。