PTT
Submit
Submit
选择语言
正體中文
简体中文
PTT
Web_Design
[问题] GAE+Python登入系统 及 XSS 问题
楼主:
cody880528
(Summon)
2014-11-24 19:13:06
大家好 小弟是web dev新手
目前是用GAE
我已经大致上写出一个登入系统了
但做法是把使用者的id存在cookie里并+SECRET、hash
但这代表只要有人拿走cookie变能登入@@
请问这要怎么解决呢
应该是跟session有关 但我不怎么确定怎么实作
memcache?
况且网页里还有summer note的html编辑器
稍微弄一下就被XSS了
这又要如何解决?
作者:
mmis1000
(秋月恋枫)
2014-11-24 20:59:00
其实无解,顶多是设个timeout,或像google那样,距离太就强制登出 ^^^^^^^ expires 才对毕竟根本没有办法确认,每一次登入的都是同一个浏览器因为除了ip外,client来的所有讯息都是可以伪造的
作者:
alog
(A肉哥)
2014-11-24 21:24:00
很简单 1. 验证 user agent 跟 ip基本上你无法防堵cookie被中间人偷走或伪造但你可以设计一些验证方法来加强防堵
楼主:
cody880528
(Summon)
2014-11-24 21:39:00
所以要把ip一起hash进去就是了? 那这样用浮动ip电脑的人。“记住我”的功能是不是就废了
作者:
mmis1000
(秋月恋枫)
2014-11-24 22:43:00
这就是代价阿,像巴哈姆特就是session绑ip没有十全十美的方式阿就连user-agent都能被js捞到,只要被xss,ip以外的所有防堵方式都废了阿所以唯一的办法就是不要被xss,开https,祈祷user不要电脑中毒
http://goo.gl/sMTxj
虽然有header之类的东西,支援度还是个问题
楼主:
cody880528
(Summon)
2014-11-24 22:56:00
我现在的写法是有人在已登入的电脑开F12 看cookie 就可以在别台电脑登你给的文件我研究研究
继续阅读
[问题] 有关Google Spreadsheet当数据库的问题??
Funky
[情报] 中部网页前端CSS3课程
jimcarry1125
[问题] 有个表单跟JavaScript的问题要请教
Funky
Fw: [请益] RoR还是PHP
famayo
Fw: [请益] 开发求职网的平台我需要会哪些?
famayo
[问题] 关于session的问题?
spiderman007
[问题] 关于将数据加载到网页表格内
ntu203
[请益] Wix HTML Editor
hankd1c
[问题] Load JS Life Cycle
gimmy731031
[问题] audio在ios播放时发生suspend
smallma009
Links
booklink
Contact Us: admin [ a t ] ucptt.com