【发布时间】:2014-10-30 22:38:14
【问题描述】:
问题 1
我的安全 Web 应用程序为经过身份验证的用户设置了一个会话 cookie,即使在我关闭我的 Chrome 浏览器后它也不会被清除。
因此,当用户在重新启动浏览器(甚至重新启动机器!)后尝试点击我的应用程序的仪表板页面时,他们不会被要求再次登录。 Chrome NOT 设置为“从我离开的地方继续”,这也是我的下一个问题。
我在相同设置下测试了我的银行网站,即使“网络”选项卡显示银行网站也保留了相同的 cookie(并与初始请求标头一起发送),它似乎也会强制用户注销。我的服务器是基于 SSL 的 Apache。
有人可以指出一些我可以处理这种情况的资源,因为 Chrome 在浏览器关闭时显然没有清除会话 cookie。
问题 2
现在使用“从我离开的地方继续”设置,它基本上会保留您的会话 cookie,实际上您可以永远保持身份验证,有没有办法覆盖/解决这个 Chrome 功能。
当我看到我所谓的安全银行网站让浏览器绕过这样的安全措施时,这让我感到不安。有什么建议吗?
干杯!
【问题讨论】:
标签: security google-chrome web-applications session-cookies