- 博客(2)
- 收藏
- 关注
RSS订阅原创 SessionID存在Cookie被劫持了怎么办?
前两天面试一家10k-14k的厂被面试官拷打了,面试官看了我的博客文章:如何使用Redis实现分布式Session存储用户信息,他问我你后端生成的SessionID存在Cookie里返回给前端,前端携带Cookie访问后端实现分布式或单点登陆,那假如Cookie被劫持了,别人请求头里携带了这个Cookie,不是一样能登陆吗?
2024-12-02 09:28:38
703
原创 SessionID存在Cookie被劫持了怎么办?
当听到这个问题,其实我是有点懵的,我思考了一下回到,我后端可以针对SessionID进行MD5加盐加密,然后前端进行解密,此时面试官又说,别人都可以看到你前端整个实现的源码,不就知道你是用什么算法进行加密吗,不是照样可以破解你的加密算法吗?假如Cookie被劫持了,攻击者的请求头拿着这个Cookie进行访问,后端针对Cookie里的加密字段进行解密,发现解密后的IP与访问者的IP不同,则拒绝访问,并将此IP加入黑名单。
2024-12-01 01:42:47
194
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人