彻底解决SESSION劫持、COOKIE欺骗的用户认证方案
HTTP是一种无状态的连接,会话状态的保持只能通过服务器端的SESSION来维持。SESSION认证依赖于颁发给用户的一个唯一的ID号。用户浏览器向服务器发送一个ID,服务器端存在该会话ID则认为该用户和会话用户为同一人。恶意攻击者可以通过嗅探网络中的COOKIE信息冒用其它用户的SESSION ID,从而冒充合法用户,这就是SESSION劫持。COOKIE除了保存会话ID,还常常用于记住
原创
2012-05-29 23:23:17 ·
5273 阅读 ·
5 评论