security - 与 Identity Server 4 中浏览器 cookie 中保存的令牌相关的安全问题
问题描述
我正在使用 Identity Server 4 版本 3.1.2。我在同一台计算机上使用 Chrome 中的用户信息和 Firefox 中的另一个用户信息登录。如果我复制保存在 Chrome Cookies 中的第一个用户令牌并将其粘贴到 Firefox Cookies(替换为第二个用户令牌)并刷新 Firefox(按 F5),Firefox 登录用户将更改为 Chrome 用户,这是一个安全问题。我能做些什么来防止这个问题?
解决方案
您无法确定缓解此问题。您可以检查用户代理标头是否与您期望的一样,但随后有人会使用插件伪造用户代理标头,您又回到了原点。可以以类似的方式绕过所有其他标头。
(尽管如果您决定信任用户代理标头,那么这就是您的解决方案)。
事实证明,检查 IP、套接字、TLS 会话会产生很多问题,根本无法被视为解决方案。
推荐阅读
- go - 使 jwt 编码更快
- linux - 汇编初学者问题:32 / 64 位代码差异
- python - 如何在python中执行快速浮点比较
- asynchronous - C++ 中异步编程的协程用法
- javascript - 在对象中生成新的属性名称而不会发生冲突
- java - 在两个设备之间同步 RecyclerView 数据?
- r - 为什么我的条件函数将所有值更改为“FALSE”,我怎样才能使其工作?
- r - knitr:如何停止在 R 小插图中嵌入 base64 图像
- c# - 反序列化器 Json 格式 DateTime
- flutter - [已解决]更新错误:发送 http post 成功后,我在 Microsoft SQL Server 中的数据没有改变 (200)