Охранная забота о скрытых с поля

Question

Я хочу проверить, есть ли у пользователя вход в систему или нет, поэтому я назначил скрытое поле для хранения ключа сеанса, и у меня есть форма для отправки сообщения.

Могут ли другие / хакеры скопировать мой сеансовый ключ из моего поля и отправить метод post на сервер ?? Если да, как я могу избежать этого?

Answer 1

Могут ли другие / хакеры скопировать мой сеансовый ключ из моего поля и отправить метод записи на сервер ??

Да.

Если вы хотите минимизировать риск утечки учетных данных, используйте шифрование (SSL (HTTPS)).

Answer 2

Вы можете использовать хэши и временные метки, которые обсуждаются здесь , но большинство сред веб-разработки предоставляют какие-то встроенные механизмы аутентификации.

Answer 3

Вы должны использовать серверный язык для проверки ключа сеанса. Это будет намного безопаснее.

Есть несколько проблем с тем, чтобы иметь это как скрытое значение. 1) Пользователь может сохранить форму, затем изменить значение и попытаться перехватить другой сеанс 2) У вас может быть человек в средней ситуации, когда кто-то слушает форму, которую нужно отправить, а затем перехватывает сеанс ...

Answer 4

Да, копирование и повторная отправка ключа из другого места могут быть легко выполнены.

Хитрость заключается в том, чтобы убедиться, что ключ сеанса действителен только в течение ограниченного времени и не может быть легко выведен из других данных в форме.

Вы можете, например, используйте хороший метод шифрования для кодирования имени пользователя, IP-адреса и времени в ключ сеанса. Расшифровка этого ключа позволила бы вам проверить пользователя, систему и время ... еще не полностью надежно ...

Это ограничит, но не устранит риск