如何防止用戶身份被偽造?

最近在研究如何避免網站遭受中間人或者CSRF攻擊,但是由於本人實在是網路安全的新手,並不能想明白如何在保證安全的情況下識別請求身份,特來求教。

用https防範中間人是一個可行的方案嗎(至少讓攻擊成本增加?)?但是cookies如何加密?我在裡面存放sessionid用來進行身份識別。或者還有什麼其他的身份識別方式嗎?謝謝!


謝邀

中間人攻擊可以使用https,cookies只允許加密傳輸。

csrf的話就做csrf token,type=hidden

提問之前請先去Google一下 謝謝


表單加hidden token


推薦閱讀:

https能防止大家都有公鑰情況下的信息竊取嗎?能防止中間人攻擊嗎?
https 頁面上如何嵌入像優酷這樣的非 https 的外部資源?
網站從http轉到https需要多久?
開啟全站HTTPS後 , 用 Firefox 打開提示此連接不受信任,如何徹底解決這個問題?
登陸所有網頁都是「此網站安全證書存在問題」的情況用https刪除後面的s這個方法解決是什麼原理?

TAG:Web開發 | 網路安全 | 計算機 | HTTPS | 計算機安全 |