問題タブ [session-hijacking]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
csrf - XSRF とセッション ハイジャックから Auth0 認証済み REST サービスを保護するにはどうすればよいですか?
一般的な状況: SPA + REST。Auth0 を使用せずに Web ユーザーを JWT で認証する場合、ログイン時にサーバーから提供された XSRF トークンを Cookie に保存し、JWT とともにリクエスト ヘッダーで送信する必要があります。
関連する公式の Auth0 ガイドhttps://auth0.com/docs/architecture-scenarios/spa-apiでは、XSRF トークンはまったく言及されていません。誰かがユーザーからアクセス トークンを盗んだ場合はどうなりますか? そのユーザーの REST API にアクセスできますか?
Auth0 には別のガイドクロスサイト リクエスト フォージェリの防止 (XSRF または CSRF)がありますが、それは奇妙に簡潔であり、説明した問題がどのように解決されるかわかりません。
django - Django での不要なセッションの複製
SESSION_ENGINE として cached_db を使用しています。セッションの重複の問題があります。これがシナリオです。
- ユーザー 1 がシステムをブラウズしています。
- ユーザー 2 は、自分のセッションを参照して変更しています。
- ユーザー 1 がブラウジングを続行すると、自分のセッションがユーザー 2 のセッションに変更されたことがわかります。
SESSION_SAVE_EVERY_REQUEST を使用すると問題なく動作しますが、この問題をソースから修正したいと考えています。
RedisでDjango 1.6を使用しています