Django4.0 使用會(huì)話-會(huì)話安全

2022-03-16 18:01 更新

站點(diǎn)內(nèi)的子域可以在客戶端上為整個(gè)域設(shè)置 cookies。如果 cookies 允許來(lái)自不受新人用戶控制的子域,這將使會(huì)話固定成為可能。

比如,一個(gè)攻擊者登入了 good.example.com 并且為賬戶獲得了一個(gè)有效會(huì)話。如果攻擊者控制了 bad.example.com ,他們可以使用它來(lái)發(fā)送他們的會(huì)話秘鑰給你(會(huì)話秘鑰是保證用戶跟其它計(jì)算機(jī)或者兩臺(tái)計(jì)算機(jī)之間安全通信會(huì)話而隨機(jī)產(chǎn)生的加密和解密密鑰),因?yàn)樽佑蛞呀?jīng)允許在 *.example.com 上設(shè)置 cookies 。

另一個(gè)可能的攻擊是如果 good.example.com 設(shè)置它的 ?SESSION_COOKIE_DOMAIN ?為 "example.com" ,會(huì)導(dǎo)致來(lái)自站點(diǎn)的會(huì)話 cookies 發(fā)送到 bad.example.com 。


以上內(nèi)容是否對(duì)您有幫助:
在線筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號(hào)
微信公眾號(hào)

編程獅公眾號(hào)