Web アプリケーション (C#、MVC) をユーザー セッションの乗っ取りから保護する必要があります。多くの AJAX コンポーネントを使用するこの Web アプリケーション。
いくつかの編集: セッション識別子の傍受に対する保護を意味します。私のプロジェクトには特定のアーキテクチャがあります。C# の認証ポイントと、セッション ID を返す外部サーバーです。このセッション ID は、クライアント側の JavaScript コンポーネントで使用されます。そのセッション ID を置換から保護したい。
これを行う唯一の方法はhttpsですか?また、https を使用すると、セッション ID の傍受から保護されますか?
まず、OWAP のセッション管理チート シートを読む必要があります: https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
2番目:SSLは特定の攻撃を防ぐため、セッションIDを保護するために必要ですが、考慮しなければならないのはSSLだけではありません
3 番目: クロスサイト スクリプティングのような脆弱性がある場合、セッション ID が盗まれる可能性があるため、JavaScript を介してセッション ID にアクセスできるようにすることはお勧めできません。
このセッション ID を JavaScript で使用できるようにすることは本当に必要ですか? これを Cookie として設定し、HttpOnly (No JS-Access) および Secure-Flag (Only transfer over HTTPS) フラグを設定し、Cookie がすべてのリクエスト。