与 Identity Server 4 中浏览器 cookie 中保存的令牌相关的安全问题

【问题标题】:Security issue related to token saved in browser cookie in Identity Server 4与 Identity Server 4 中浏览器 cookie 中保存的令牌相关的安全问题
【发布时间】:2021-06-09 20:10:12
【问题描述】:

我使用的是 Identity Server 4 版本 3.1.2。我在同一台计算机上使用 Chrome 中的用户信息和 Firefox 中的另一个用户信息登录。如果我复制保存在 Chrome Cookies 中的第一个用户令牌并将其粘贴到 Firefox Cookies(替换为第二个用户令牌)并刷新 Firefox(按 F5),Firefox 登录用户将更改为 Chrome 用户,这是一个安全问题。我可以做些什么来防止这个问题?

【问题讨论】:

  • 为什么这是一个安全问题?您似乎在描述会话劫持。

标签: security cookies asp.net-identity token identityserver4


【解决方案1】:

您无法确定缓解此问题。您可以检查user agent 标头是否是您所期望的,但随后有人会使用插件伪造用户代理标头,您又回到了原点。所有其他标头都可以以类似的方式绕过。

(尽管如果您决定信任用户代理标头,那么这就是您的解决方案)。

事实证明,检查 IP、套接字、TLS 会话会产生很多问题,根本无法被视为一种解决方案。

【讨论】:

    猜你喜欢
    • 2018-03-08
    • 2018-11-29
    • 1970-01-01
    • 2018-09-02
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-12-10
    • 2021-08-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode