[问题] GAE+Python登入系统 及 XSS 问题

楼主: cody880528 (Summon)   2014-11-24 19:13:06
大家好 小弟是web dev新手
目前是用GAE
我已经大致上写出一个登入系统了
但做法是把使用者的id存在cookie里并+SECRET、hash
但这代表只要有人拿走cookie变能登入@@
请问这要怎么解决呢
应该是跟session有关 但我不怎么确定怎么实作
memcache?
况且网页里还有summer note的html编辑器
稍微弄一下就被XSS了
这又要如何解决?
作者: mmis1000 (秋月恋枫)   2014-11-24 20:59:00
其实无解,顶多是设个timeout,或像google那样,距离太就强制登出 ^^^^^^^ expires 才对毕竟根本没有办法确认,每一次登入的都是同一个浏览器因为除了ip外,client来的所有讯息都是可以伪造的
作者: alog (A肉哥)   2014-11-24 21:24:00
很简单 1. 验证 user agent 跟 ip基本上你无法防堵cookie被中间人偷走或伪造但你可以设计一些验证方法来加强防堵
楼主: cody880528 (Summon)   2014-11-24 21:39:00
所以要把ip一起hash进去就是了? 那这样用浮动ip电脑的人。“记住我”的功能是不是就废了
作者: mmis1000 (秋月恋枫)   2014-11-24 22:43:00
这就是代价阿,像巴哈姆特就是session绑ip没有十全十美的方式阿就连user-agent都能被js捞到,只要被xss,ip以外的所有防堵方式都废了阿所以唯一的办法就是不要被xss,开https,祈祷user不要电脑中毒http://goo.gl/sMTxj 虽然有header之类的东西,支援度还是个问题
楼主: cody880528 (Summon)   2014-11-24 22:56:00
我现在的写法是有人在已登入的电脑开F12 看cookie 就可以在别台电脑登你给的文件我研究研究

Links booklink

Contact Us: admin [ a t ] ucptt.com