我们应该使用什么技术来通过粘贴cookie来阻止自动登录?
在这种情况下,您可以使用以下技术来阻止通过粘贴Cookie自动登录:
- 使用HttpOnly Cookie:HttpOnly Cookie是一种服务器发送给浏览器的cookie,它不能被JavaScript脚本访问,这样可以防止跨站脚本攻击(XSS攻击)导致的Cookie盗用。
- 使用Secure Cookie:Secure Cookie是一种只能在HTTPS连接上传输的cookie,这样可以防止Cookie在传输过程中被窃取。
- 设置Cookie的SameSite属性:SameSite属性可以限制Cookie在跨站请求时的发送行为,例如,设置SameSite=Strict可以防止Cookie在跨站请求时被发送。
- 使用Token-based Authentication:Token-based Authentication是一种无状态的认证方式,它不依赖于Cookie,而是使用令牌(Token)来验证用户身份。
- 设置Cookie的有效期:通过设置Cookie的有效期,可以限制Cookie的使用时间,从而降低被盗用的风险。
- 使用CSRF Token:CSRF Token是一种防御跨站请求伪造攻击的方法,它可以在服务器端生成一个随机的Token,并将其作为表单的隐藏字段,然后在服务器端验证Token的有效性,从而防止CSRF攻击。
推荐的腾讯云相关产品:
- 腾讯云API网关:API网关可以帮助您管理API请求,并提供安全、稳定、高可用的API访问。
- 腾讯云SSL证书:SSL证书可以保证数据传输的安全性,适用于需要加密传输的Web应用。
- 腾讯云负载均衡:负载均衡可以帮助您平衡应用程序的负载,提高应用程序的可用性和性能。
- 腾讯云内容分发网络:CDN可以帮助您加速网站内容的分发,提高用户访问速度。
- 腾讯云云巢:云巢是一种容器化的解决方案,可以帮助您快速构建、部署和管理应用程序。
产品介绍链接地址:
相关·内容
因为HTTP(s)是无状态的,所以它不记得用于身份验证和为用户分配权限的用户名/密码组合。我读到过,为了克服这个限制,很多网站都会通过cookie (如果我是正确的话) sessionId cookie来让用户登录。
有两个问题我不确定:
这个密钥是用来加密数据的,还是会是一个不同的会话密钥cookie,或者这些都不是?
如果有人复制/粘贴我的会话id cookie,可以像我自己一样无缝地登录吗?
浏览 0提问于2022-03-12得票数 0
回答已采纳
我正在开发一个web应用程序,在这个应用程序中,我必须告诉用户他已经登录到gmail或yahoo或facebook帐户。我认为这可以使用cookies来完成。
如何找到它?
这些帐户的cookie名称是什么,以便我可以检查它们的存在
浏览 0提问于2011-05-06得票数 4
回答已采纳
1回答
这个问题是我今天关于cookies的各种问题的结果。
正如您所知道的,使用cookie处理登录过程并不是一件容易的事。
但是,如何在登录时设置cookie,并在重新启动浏览器时自动登录?
如果我基于cookie的存在进行重定向,这是很危险的,因为其他人可能只会创建cookie。那么处理这个问题的方法是什么呢?
浏览 0提问于2009-03-26得票数 3
回答已采纳
1回答
我想在上刮一下tiktok的注释,但是设置告诉我,我需要提供cookies作为普通的TikTok用户登录(您可以使用Chrome插件(如'EditThisCookie')进行复制)。
我已经下载并安装了EditThisCookie扩展,但是我找不到代表登录cookie的任何cookie:
有人知道如何获取登录cookie值吗?
浏览 36提问于2022-05-06得票数 0
假设服务器可以提供一个cookie和一个令牌。然后,我在用户登录时设置它们。cookie被设置为httpOnly,令牌将保存在localStorage中。当用户执行提交时,它们都将被发回。AFAIK,cookie可以防止XSS泄漏,令牌可以防止CSRF。我能用这种方式阻止这两起袭击吗?
浏览 0提问于2022-01-10得票数 0
我有一些信息,如用户全名和配置文件图片,我需要在mysql中随时访问这些信息。(他所访问的所有网页)
当用户登录并将其存储在COOKIE中时,我正在考虑获取一次此信息。因此,每一页我都会在这个cookie中获得这些信息,以避免每次都与mysql连接。(如果cookie没有设置或丢失日期,我将检查mysql)。
这是一个好的解决方案还是没有意义的解决方案?我做这个有问题吗?有人尝试过类似的东西吗?
谢谢朋友们!
编辑:我不想将登录信息存储在cookie中,我有一个会话。只是想为无关的信息,他的个人资料,他的全名设置一个曲奇.不是登录访问数据。
浏览 9提问于2016-02-19得票数 1
2回答
我有一个用于用户身份验证的应用程序,我遇到了这个问题,我有一个登录的用户,并在cookie中存储了JWT (JsonWebToken)。我在验证用户后存储了cookie。接下来,作为管理员,我将该用户从数据库中删除,而他/她仍处于登录状态。因为用户仍然是登录的,所以用户在浏览器中有一个有效的JWT,所以它仍然认为它存在,因为我验证用户是否登录的方式是通过webtoken。我一直在思考如何解决这个问题,但我还没有想出任何办法。
我也在上发布了这个问题。
浏览 1提问于2016-07-24得票数 0
3回答
这里有一个非常基本的问题。在PHP中,如果用户的浏览器禁用了cookie,那么您就不能同时使用服务器cookie ($_SESSION)和客户端cookie ($_COOKIE、setcookie),或者只禁用后者?基本上,您不能让用户登录或执行任何需要会话的操作,对吧?
另外,在哪种情况下,有人会希望禁用cookies?
谢谢!
浏览 5提问于2012-03-02得票数 12
回答已采纳
请帮助我防止复制粘贴的网址在另一个标签。
我正在对我的应用程序使用表单身份验证。我已经登录并访问了一些页面。
现在,如果我粘贴已访问的页面url,...i也可以在不登录的情况下访问此页面
我尝试添加下面的code..but no use..still我不登录就能看到页面
<authentication mode="Forms">
<forms name="Authen" protection="All" timeout="60" loginUrl="login.aspx"/>
<
浏览 1提问于2014-03-13得票数 0
从:CSRF攻击起作用,因为浏览器请求自动包含所有cookie,包括会话cookie。
为了防止这种情况,我们可以使用双提交cookie哈希。
在我发现的一些示例代码中,基本上找到了这个算法。
受害者访问应用程序:
后端:生成与登录cookie相关的登录cookie和散列字符串
前端:将散列字符串存储到第二个cookie中(例如: CSRF-token cookie)
前端(安全):发送带有登录cookie和CSRF HTTP报头的请求,其中标头值是从CSRF令牌cookie中提取的。
攻击者:
使用某种社交媒体工程让用户点击恶意链接,其中恶意链接使用会话cookie。
浏览 3提问于2021-01-22得票数 6
我正在使用.net MVC开发一个敏感的web应用程序,并且在使用cookies登录后保存我的用户凭据。
问题是,一个用户能够用他们的用户名和密码登录。然后,他/她能够编辑cookie并将cookie重置为另一个用户id。这引起了安全问题。我们怎样才能防止这种情况发生?
浏览 0提问于2017-03-22得票数 3
我在Android上的Ionic 5 React应用程序有一个奇怪的问题。该应用程序登录到Drupal 8后端,并获得一个用于身份验证的JWT令牌。
然而,在最近对我的应用程序和Drupal做了一些修改之后,这个应用程序现在也得到了一个会话cookie ( Drupal会话cookie)。这通常是可以的,但是当我退出应用程序时,,即使我看到Cookies: Chrome中的在开发机器上被删除,当我尝试重新登录应用程序时,应用程序使用的是Drupal,这会导致一个错误:{"message":"This route can only be accessed by anony
浏览 1提问于2021-05-07得票数 0
2回答
我试图弄清楚如何将wordpress在登录时设置的名称更改为cookie。
wordpress_test_cookie = sitename_test_cookie
或/和
wordpress_logged_in = sitename_test_cookie
浏览 0提问于2015-09-08得票数 4
我有一个项目,在这里,我需要自动登录到一个网站使用cookie会话id。
例如,我知道我可以通过php或python中的会话ID生成cookie,但我不知道是否可以直接登录到but浏览器中,而不需要其他东西来存储cookie。
在浏览器中直接登录是否可行,而无需其他步骤,如在PHP中使用curl,如果可以,如何实现?
谢谢
浏览 2提问于2020-03-09得票数 1
回答已采纳
2回答
我刚刚开始学习AspectJ,我有用户登录的用例。如果用户的会话数据(Cookie)与服务器上存储的数据不匹配,我希望更改调用的函数。假设我有两个操作:
class HttpServlet {
public function() {
}
public function2() {
}
public doLogin() {
}
}
我的建议如下:
public aspect UserLoggedIn {
pointcut GreetingServer(): within(HttpServlet);
pointcut requireA
浏览 0提问于2009-09-03得票数 0
回答已采纳
1回答
我们需要在使用Windows (WIF)进行身份验证的应用程序上进行一些性能和负载测试。由于测试需要测量受保护页面的性能,那么什么是“模拟”登录用户的最佳方式?
我们应该简单地将身份验证cookie复制并粘贴到请求中吗?是否有一种推荐的方法来做到这一点?
我们可能会使用像JMeter这样的工具来进行负载测试。
Update:看起来您可以在JMeter中记录测试,以便用于捕获登录请求。
浏览 0提问于2011-11-18得票数 0
回答已采纳
1回答
嗨,我有一个与安全相关的问题,我允许用户登录和注册我的问题是,当用户登录我的脚本时,只设置会话,没有cookie,那么只依赖会话而不是cookie安全吗?或者我同时使用cookie和会话?
浏览 1提问于2013-03-16得票数 0
回答已采纳
我正在用laravel编写应用程序,在登录到应用程序并关闭浏览器,然后重新启动应用程序后遇到问题,出现错误419
是.env文件:
BROADCAST_DRIVER=log
CACHE_DRIVER=file
FILESYSTEM_DRIVER=local
QUEUE_CONNECTION=sync
SESSION_DOMAIN_URL=.my domain
SESSION_DRIVER=file
SESSION_LIFETIME=960
和文件session.php
<?php
use Illuminate\Support\Str;
return [
/*
|--
浏览 0提问于2021-12-03得票数 2
我创建了一个小函数,它根据用户收到的通知数量向我播放音频文件。我把这个功能放在wordpress的页脚里。
代码如下:
function custom_um_notification_sound() {
$uno = "<audio src='https://www.example.com/note1itaen1.mp3' autoplay></audio>";
$due = "<audio src='https://www.example.com/note1itaen2.mp3' au
浏览 0提问于2020-04-10得票数 0
我遵循一个教程,在登录用户之后,后端向包含用户id的前端发送一个HTTPOnly cookie。但是,无法从前端访问HTTPOnly cookie(例如。document.cookie将无法读取cookie)。
我的问题是,如何使用这个cookie来检索用户数据?我的想法是,您将执行类似GET 'server_address'/ user /' id‘之类的操作,其中'id’将是存储在cookie中的用户id。但是这显然不能工作,因为前端不能访问cookie,因为它是HTTPOnly。我想到的一个可能的解决方法是,服务器在登录后在JSON响应中发送用户id,但是
浏览 0提问于2018-07-21得票数 3
回答已采纳
4回答
仅允许特定iOS设备查看网站
、、、、
有没有办法将网站锁定到特定的iOS设备上?
例如,如果我可以使用UID,那么只有具有我知道的UID的用户才能访问该站点。
我可以使用用户名和密码,但我不希望我的用户能够将他们的帐户分享给其他人。
我已经考虑过使用cookie。当用户第一次登录时保存一个cookie,如果他尝试登录另一个设备,它将不起作用,因为我已经将其编程为只为每个帐户保存一个cookie。
但是有没有更好的方法呢?
浏览 0提问于2011-06-17得票数 4
正如标题所述,我想知道管理cookie是否有安全/隐私方面的好处--也就是说,通过删除您不想要或不需要的cookie来管理。
大约一周前,我删除了所有的cookie,从那以后,我在Chrome中留下了一个选项卡和cookies列表。(chrome://设置/cookie)每天有几次(当我想到它的时候),我刷新列表并浏览它,删除任何我不需要的cookie。在我的例子中,除了一堆StackExchange站点和其他一些我喜欢登录的站点之外,我一直在删除几乎每个站点的cookie。
这不需要太多的时间,而且有趣的是,看看哪些网站会带来来自不同广告网站的cookie,但这对我在互联网上保持更多的隐私有
浏览 0提问于2012-03-08得票数 6
1回答
是否可以编辑已登录用户的会话数据?
例如:用户norman登录,并将以下会话cookie设置为$_ session‘’addPost‘=0
这意味着用户可以添加帖子。假设我想阻止该用户添加帖子。我需要将cookie设置为1。我可以更改Cookie值吗?因为,在用户注销并再次登录之前,它不会改变,并且他仍然可以添加帖子。
如何做到这一点?
浏览 1提问于2013-05-04得票数 0
正如问题所说,如果一个cookie是一个HttpOnly,你能找出它是否存在于Javascript中吗?我不需要访问它里面的信息,只要知道它有一个就行了。
关于这种情况的更多信息是,最初有一个web服务器使用cookie作为身份验证令牌,它被设置为httponly,因为它不被客户端使用,因此它增加了安全性。
然而,现在需要进行更改,客户端需要知道它是否有cookie (因为站点可以在没有用户登录的情况下工作,但如果用户登录( auth cookie将存在),则站点需要显示某些内容并隐藏其他内容。
在web服务器上还有其他安全预防措施,因此在客户端具有不正确的身份验证cookie的情况下不会造成
浏览 15提问于2012-02-20得票数 23
回答已采纳
最近,我们将登录更改为使用HTTPS,并且遇到了登录问题。
登录后,用户将被重定向到未加密(HTTP)页面。当它到达此页面时,站点将检查用户是否已登录。它将创建一个新的会话,并且该用户似乎没有登录,因此我们的用户被重定向到登录页面。如果用户再次登录,它将工作。
cookies不仅被设置为https,但它们似乎不适用于http页面。
有人知道为什么会发生这种事吗。
编辑:
我应该提到,显示登录名的页面位于不同的URL上。(在运行tomcat实例的机器上有一个登录页面,但营销站点位于wordpress安装上,并使用不同的域)。
我不能使用HTTP request first方法来设置cookie,
浏览 5提问于2010-10-18得票数 5
2回答
目前,当您使用sqlcheck和cookie对用户进行身份验证时,我使用“标准”登录来存储信息。(如代码示例所示)。现在,我想在这里存储有关客户的更多信息。例如,如果他以管理员身份登录,他选择哪个部门进行身份验证等,那么最好的方法是什么?(会话、缓存、存储用户属性信息)
我四处寻找,但还没有找到关于MVC3框架的安全性和标准的最佳答案。因为我是MVC的新手,所以我想直接“深入”到正确的习惯……感谢您的建议/意见。
public ActionResult Index()
{
return View();
}
[HttpPost]
public A
浏览 0提问于2011-12-15得票数 0
1回答
我的前端运行在一个Heroku实例上:fe.herokuapp.com
和运行在另一个实例上的后端:be.herokuapp.com
当用户从前端登录时,我想设置一个相同的域 cookie。
我使用Koa模块来设置cookie,如下所示:
cookies.set("accessToken", token, {
maxAge: 1000 * 60 * 24,
signed: true,
secure: process.env.NODE_ENV === "production",
httpOnly: true,
domain: process.e
浏览 1提问于2019-09-01得票数 4
我有一个WordPress网站。什么时候一些人可以登录并将cookie保存在本地系统中,然后他们就可以通过直接输入URL而无需登录访问? 有没有人能有个主意?如何解决这个问题。
浏览 34提问于2021-01-20得票数 0
我跟踪这个和这个来设置--记住我。然而,当我在Google中打开Cookies时,我会得到PHP和Javascript的方法来完成它。哪种方式更好,还是我需要两者兼用?我有一个PHP和Javascript的代码库,我需要一个起点。我看到了大量关于cookie的javascripvs.php的SO文章,但这不是我要问的。我知道服务器端编程和客户端编程之间的区别,以及cookie is...but看不到关于如何设置/检索cookie的明确答案。我的假设是:
用于设置cookie:
当用户登录并设置“记住我”时使用PHP。尽管此时客户端拥有控制权,但凭据必须传递回PHP进行验证。完成验证后,设置co
浏览 3提问于2012-02-06得票数 0
回答已采纳
2回答
在我们的web应用程序的UI中,我们在iframe中加载一个视频。视频位于office 365/SharePoint服务器上。
如果用户未登录到Azure ADAL管理的组织门户,则将在iframe中加载登录屏幕。如果用户已经登录视频播放正常。
到目前为止还不错。但是我们的管理层不希望iframe重定向到登录页面,而是在iframe上设置一个cookie并加载视频。
我们说过,不可能在iframe上设置cookie并发送请求,我们还询问如何将Microsoft引入应用程序?架构师说有一个rest端点将给出cookie的细节。但我们仍然不知道如何设置它。
是否真的可以设置cookie并发送到Mi
浏览 0提问于2019-02-27得票数 0
回答已采纳
我有一个输入字段,我不希望用户在其中粘贴任何值。我正在使用下面的jQuery代码,它在桌面浏览器和iPhone Safari上运行得很好。问题是它不能在Android浏览器上工作。
$('#no_paste').bind("paste", function(e) {
e.preventDefault();
});
这是
浏览 1提问于2013-08-20得票数 5
回答已采纳
我正在尝试抓取谷歌阅读器,但我遇到了问题…我希望登录谷歌阅读器,并在此页面获得有效的cookie...then尝试输入:
'http://www.google.es/reader/atom/user/-/state/com.google/reading-list'
如果我的cookies工作了,并且我登录了,我只需要放入"user/-/",它就会进入我的谷歌阅读器的XML版本中……
理论上是这样。我登录谷歌阅读器,它会重定向...然后我复制我的SID ...我使用这个和google阅读器的API信息创建了一个手动cookie
http://code.google
浏览 3提问于2010-12-10得票数 1
2回答
在阅读这个问题之后,如果我的理解是正确的,服务器将CSRF令牌作为cookie发送到下游。乍一看,这似乎不符合令牌的目的,因为所有cookie都是由浏览器发送的,即使请求的来源并不相同。
但是,为了将其写入自定义字段,您需要先读取它,只有当您是相同的来源时,才能读取它。因此,请求证明它来自于从cookie jar中具有“读取权限”的代码--这与浏览器代表您发送它是不同的。
但我不确定我是否正确地理解了它。它就是这样工作的吗?
浏览 0提问于2017-03-20得票数 5
回答已采纳
2回答
我需要一个约2012年的例子如何登录到不间断电源使用PHP cURL。我不会关闭两次调用之间的会话。有3个页面要获取,1)登录页面2)密码页面和3)发票页面
我以前让它工作过,但是它不再工作了。我删除了cookie文件,它工作了一段时间,然后我收到消息“您当前的请求由于不活动而超时。您将需要重新启动您的请求。”如果我没有在窗口中登录,即使成功登录也会超时。我尝试删除cookie文件,然后重新启动,但不起作用。你知道怎么让超时窗口是无限的吗?下面是我的代码,删除了凭据:
$cookie_file_path = "/tmp/cookie.txt";
浏览 0提问于2012-02-14得票数 0
回答已采纳
我正在监控一个网站寻找一些机会,这些机会几秒钟内就会消失。我编写了一个php代码来帮助我处理那些可以正常工作的代码,并在有什么东西可用时提醒我,然后我必须打开网站,登录,输入captchas,浏览几页等等。当我这样做的时候,这个机会可能已经消失了。
所以,我想知道是否有可能在浏览器中打开某个网页和cookie文件,这样我就可以获得更多宝贵的时间来抓住这个机会。我知道我可以用exec打开火狐
exec ('firefox -private [url] > /dev/null 2>&1 &');
但是从手册页面上看,似乎不存在导入cookie的选项。提前
浏览 2提问于2017-12-13得票数 0
我需要检查一下我的网站上是否启用了cookies,当隐私设置设置得很高或阻止所有cookie时,我在IE11上遇到了问题。我一直在使用Javascript,并遵循了这个的答案
守则如下:
function checkCookie() {
var cookieEnabled = (navigator.cookieEnabled) ? true : false;
if (typeof navigator.cookieEnabled == "undefined" && !cookieEnabled) {
浏览 2提问于2016-10-17得票数 0
回答已采纳
我们都知道,通过明文传输用户名和密码是不好的,因为任何查看数据包的人都可以很容易地查看它们,所以我们使用HTTPS加密这些数据。
我注意到许多网站只是使用HTTPS作为登录表单,并对所有其他页面(如StackOverflow)使用常规HTTP。难道没有人能看到从登录表单返回的cookie (像会话cookie)并将其注入到自己的web请求中吗?虽然它不会公开用户名和密码,但它们似乎可以通过这样做来模拟另一个用户。
假设我在窥探我朋友的互联网连接。在我的朋友在HTTPS中进行身份验证之后,服务器和我的朋友开始通过HTTP进行通信,并以明文方式传输cookie。是什么阻止我使用这个饼干?
浏览 3提问于2014-04-14得票数 0
回答已采纳
1回答
在Angularjs config文件中。
.config(function($httpProvider) {
$httpProvider.defaults.withCredentials = true;
})
应用程序使用Angularjs on front-end,,使用Spring MVC on backend。当用户登录应用程序时,后端将session写入front-end。因此,应用程序使用cookie来进行操作。
GET和POST请求都正常。但是有一个使用"PUT“的方法的请求,浏览器发送的请求的方法是"OPTIONS”。此时,服务器无法侦破请求。因为没有饼
浏览 4提问于2016-04-14得票数 0
回答已采纳
1回答
我正在使用ASP.NET并在服务器上创建一个cookie,如下所示:
public void LoginCookie(string id, string name, string loc)
{
HttpCookie cookie = new HttpCookie("login");
cookie["name"] = HttpContext.Current.Server.UrlEncode(name); // user name
cookie["avatar"
浏览 0提问于2015-08-17得票数 2
回答已采纳
1回答
我正在开发一个Windows应用程序,并根据官方指南启用了Asp.NET身份验证:
身份验证是有效的,但有一件事我还不清楚。如果我使用浏览器从Windows域中的机器访问网站,根据访问方式,我有两种不同的行为:
如果我使用地址中的机器名(例如: )进行访问,浏览器将自动登录,并通过身份验证,而不需要用户执行任何操作。
如果我使用机器的公共域名(例如:)访问,浏览器要求我输入windows凭据,如下图所示:
我现在的问题是:
是否有一种方法可以使浏览器自动登录,即使我使用公共域而不是机器名进行访问?(显然,只有在浏览器运行的机器登录到域时,才会自动工作)
如果第一
浏览 1提问于2019-03-28得票数 1
回答已采纳
我在Google中使用LastPass密码管理器扩展。我必须输入您的主密码(LastPass的密码)才能登录,并获得管理器的所有功能,如自动填充密码和多个站点中的用户等。
这个登录可能持续一个小时,但回来后,我必须再次输入我的主密码,因为它是注销的。我不明白,LastPass不应该保存一个cookie或其他东西(对不起,我很无知)来保存登录。为什么LastPass可以保存一个小时的登录,而不是一个星期?有些证书过期了吗?还是我的处境出了什么问题?
增编信息:如果我关闭Chrome和重新打开5秒后,LastPass登录自动无需我输入密码。
浏览 0提问于2016-07-01得票数 1
回答已采纳
1回答
我在我的应用程序中使用游戏分析(GameAnalytics.com)。对于那些不熟悉GA的人来说,这是一项免费的移动应用程序分析服务,就像flurry一样。我需要一些GameAnalytics不会做的分析,这就是为什么我下载原始的json事件数据,解析并存储在本地DB中以供进一步处理。首先,我认为每次都可以手动下载数据,但后来我意识到自己很烦人,所以最好自动执行这个操作。
我对webdev、php和js没有很深的理解,尽管我多年来一直使用php,主要用于实用程序和软件后端。
因此,我使用了sniffer,并能够在php上使用cookie再现GET请求:
$rollingCurl = new R
浏览 5提问于2015-02-19得票数 0
回答已采纳
2回答
我正在开发一个PHP应用程序,这个应用程序的主要关注点是安全性。到目前为止,我已经将身份验证数据存储到两个cookie中:
一个用于唯一散列字符串的cookie (30个字符)
一个用于唯一id的cookie (包含cookie信息和用户id的mysql数据库表的主键)
Db表如下所示:
用户(user_id,用户名,密码)
Cookie (cookie_id,user_id,hash,time,ip)
当用户访问页面时,应用程序会检查客户端上现有的cookie (cookie检查),并将它们与数据库表Cookies进行比较。如果哈希字符串和id匹配,则扩展会话
浏览 6提问于2011-07-16得票数 2
回答已采纳
2回答
当用户登录并选中“记住我”框时,我会为它生成一个密钥(md5上非常随机的数字),并保存在它的cookie中。如果用户没有登录,我的代码就会检查是否有"remember me key“cookie,如果它与用户匹配,则表明该用户已登录。
我的问题是,我如何阻止用户复制他们的记住我的关键cookie,并将其传递给他们的朋友?因为如果他们这样做,复制cookie的人将在甚至不知道帐户密码的情况下登录,然后他们将在不购买的情况下访问高级帐户。
我不能将密钥绑定到ip,否则remember me将不能很好地工作,因为很多计算机经常更换ip。我想过保存用户代理和其他浏览器信息,你怎么看?
浏览 1提问于2013-01-19得票数 2
回答已采纳
我正在努力找出如何注销一个使用Google的应用程序的用户
最终目标是能够让用户回到他们第一次访问站点时完成的初始过程(也就是说,他们在再次登录之前不能访问我的应用程序)。
我已经查看了文档,我所能看到的就是的“清除用户登录”部分
但是,当用户被重定向到/_gcp_iap/清除_ GCP_IAAP_AUTH_TOKEN _ cookie时,这会将cookie设置为none,然后将用户重定向到我的应用程序的根。请求/然后依次将用户重定向到 (包括许多获取参数),然后将用户重定向到/_gcp_gate门将/ GCP_IAAP_AUTH_TOKEN,后者再次设置GCP_IAAP_AUTH_TOKEN
浏览 7提问于2017-11-16得票数 6
禁用第三方(第三方)cookie
移除所有曲奇
登录到gmail.com
访问youtube.com而不登录
不知道youtube.com怎么知道你的gmail身份?
谁能解释这是如何在技术上实现的,那么禁用第三方cookie有什么意义呢?
浏览 5提问于2017-11-01得票数 0
1回答
我们正在运行Laravel4.2站点。这只是一个新闻网站,没有用户身份验证。
从上周六开始,我们就开始被一些可疑的请求淹没,这些请求已经导致了网站的瘫痪。
为了减少假请求,我们安装了Apache mod_evasive (),但没有成功。我们也尝试过fail2ban (),但没有成功。
目前我们正考虑从Laravel自己那里做这件事。我们的搜索给了,但似乎对其有效性存在疑问。
接下来,我们将考虑升级到Laravel 5并使用节流(),但意识到这只适用于身份验证/登录,而我们没有。
有没有一种不用登录就使用Laravel节流的方法?基本上,我们需要的是保护控制员。在将请求传递给控制器之前,我们需
浏览 1提问于2016-09-01得票数 1
我在OIDC反向代理后面有一个web应用程序--换句话说,当我访问这个应用程序时,我被重定向到我的身份提供者,我登录,我的浏览器设置了一个cookie,用于随后的请求,以证明我已登录。
此cookie设置了标志,据我所知,这是防止XSS漏洞被恶意网站利用的最佳实践。
但是,正如预期的那样,我的应用程序中的Javascript无法访问登录cookie,因此在我的浏览器控制台中,我看到请求被重定向到我的身份提供者(并被CORS策略阻止),因为它们没有访问登录cookie的权限。
这是否意味着这样的架构不能使用Javascript调用应用程序?
在这种情况下禁用HTTPOnly标志以允许Ja
浏览 0提问于2020-12-02得票数 0
回答已采纳
1回答
我想让每个人都运行一些东西。我正在尝试升级一个网站,并对其进行大修,当用户登录时,我注意到了一些问题。设置了几个cookie,比如昵称和用户编号。该网站是一个在线商店,我已经注意到,如果我更改cookie值,我可以获得其他帐户的项目列表。这只有在我破解Cookie值并通过在.NET中创建一个自定义程序来更改它时才会发生,该自定义程序将允许我更改所有头信息。对我来说,这在安全方面造成了一个潜在的巨大问题,但我不确定我是不是太偏执了,还是这是一个真正的威胁。如果这是一个真正的威胁,我如何确定用户实际上就是用户,并且这些cookie没有被更改。到目前为止,我没有任何证据表明这个网站以前发生过这种情况
浏览 27提问于2017-02-23得票数 0
我想在某种程度上保护cookie,即使登录cookie被偷了,它现在仍然有效,
我使用默认的asp.net成员资格在网页表单.net框架4.0,以保护一些网页在网站上,所以只有注册用户可以访问页面后,他们正确登录。但是如果中间人偷了饼干,他们还可以登录。
我怎样才能保护曲奇不被偷
我从我的身边跟随
我现在在网站上使用https。
第二,我在web.config <httpCookies httpOnlyCookies="true" requireSSL="true" />中添加了以下代码
即使在收到这些信息之后,我也可以登录到安全的网
浏览 1提问于2018-09-05得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
