如何防止用戶身份被偽造?
01-01
最近在研究如何避免網站遭受中間人或者CSRF攻擊,但是由於本人實在是網路安全的新手,並不能想明白如何在保證安全的情況下識別請求身份,特來求教。
用https防範中間人是一個可行的方案嗎(至少讓攻擊成本增加?)?但是cookies如何加密?我在裡面存放sessionid用來進行身份識別。或者還有什麼其他的身份識別方式嗎?謝謝!
謝邀
中間人攻擊可以使用https,cookies只允許加密傳輸。csrf的話就做csrf token,type=hidden提問之前請先去Google一下 謝謝表單加hidden token
推薦閱讀:
※https能防止大家都有公鑰情況下的信息竊取嗎?能防止中間人攻擊嗎?
※https 頁面上如何嵌入像優酷這樣的非 https 的外部資源?
※網站從http轉到https需要多久?
※開啟全站HTTPS後 , 用 Firefox 打開提示此連接不受信任,如何徹底解決這個問題?
※登陸所有網頁都是「此網站安全證書存在問題」的情況用https刪除後面的s這個方法解決是什麼原理?