会话劫持和PHP

让我们考虑一下服务器对用户的信任.

会话固定:为了避免固定我session_regenerate_id()只在身份验证中使用(login.php)

会话sidejacking:整个站点的SSL加密.

我安全吗？

阅读OWASP A3-Broken认证和会话管理.另请阅读有关OWASP A5-CSRF的信息,有时也称为"会话骑行".

您应该在php头文件中使用此代码:

ini_set('session.cookie_secure',1);
ini_set('session.cookie_httponly',1);
ini_set('session.use_only_cookies',1);
session_start();

此代码可防止会话固定.它还有助于防止xss访问document.cookie,这是会话劫持可能发生的一种方式.仅强制使用HTTPS是解决OWASP A9-传输层保护不足的好方法.这种使用HTTPS的方式有时被称为"安全cookie",这是一个可怕的名称.此外,STS是一个非常酷的安全功能,但并非所有浏览器都支持它(尚未).