加密会话 ID [重复]

【问题标题】:Encrypting Session ID [duplicate]加密会话 ID [重复]
【发布时间】:2012-10-31 08:55:03
【问题描述】:

可能重复:
What is the best way to prevent session hijacking?
Is encrypting session id (or other authenticate value) in cookie useful at all?

我的会话处理程序将会话 ID 存储在 cookie 中并返回 cookie 的值以用作对数据库的引用。

我的问题很简短。我应该加密 cookie 中的会话 ID 还是没有意义?

谢谢! :)

【问题讨论】:

  • 你认为为什么需要加密它?
  • 为了防止会话固定/劫持。我不确定它是否有必要/是否会有任何好处。 :s
  • 毫无意义。见related answer
  • 从客户端返回到服务器的 cookie 值是纯文本,未加密。所以你的加密不会有任何好处。例外情况是,如果请求是通过 https 进行的,在这种情况下,您无论如何都不需要加密。
  • 感谢大家的帮助。真正有用的东西。 :)

标签: php database security session cookies


【解决方案1】:

这完全没有意义。即使您加密了会话 ID,加密版本也会通过 cookie 发送到您的服务器。如果有人想劫持它,他会窃取该加密会话 ID 并将其发送到您的服务器。你的服务器会很乐意解密它。

【讨论】:

  • 太棒了,谢谢!将在 4 分钟内接受您的答复。 :)
猜你喜欢
  • 1970-01-01
  • 2015-12-19
  • 1970-01-01
  • 1970-01-01
  • 2018-11-06
  • 2014-06-27
  • 1970-01-01
  • 1970-01-01
  • 2010-12-14
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode