2. 질의 응답
  3. 잠재적 인 XSS를 방지하는 방법

잠재적 인 XSS를 방지하는 방법

2012-06-01 5 views
0

XSS에 대해 읽었으며 IP 및 사용자 에이전트 검사가 쿠키 도용을 방지하는 좋은 방법이라는 것을 알았습니다. 나는 SO와 내가 그 사람이 그들의 IP 또는 사용자 에이전트를 변경 한 후 사람들을 로그 아웃하지 않는다는 것을 알았지 만, ALL 헤더를 복사하고 다른 프로그램을 사용하여 SO에게 보내면 나를 보내 주었다. IP와 사용자 에이전트가 중요하지 않고 모든 http 헤더가 같은 경우 어떻게 다른지 감지 할 수 있습니까?잠재적 인 XSS를 방지하는 방법

출처

2012-06-01 undone

+0

이동중인 사용자의 IP 주소는 길을 운전하기 때문에 세션 중에 변경 될 수 있습니다. 세션 하이재킹을 막는 요인으로 사용하는 것이 좋습니다. 신뢰할 수있는 ISP 조회 데이터베이스가있는 경우 ISP를 변경하는 것이 더 나은 표시로 간주 될 수 있지만 그렇다고하더라도 사무실에서 iPhone을 가지고 Starbucks로 옮겨 가면 해당 조건이 실행될 수 있습니다. –

+0

@EricJ. 고마워, 나는 그 생각하지 않았다 :-) – undone

답변

1

SE 예를 들어 더 많은 인증 방법을 사용합니다. SE는 쿠키와 같은 토큰을 하위 도메인의 오프라인 데이터로 저장하고 데이터가 어떤 방식으로 확인되는 서버로 전송합니다. 로그인 사이트로 전송되는 일시적인 토큰을 얻는다면 로그인 한 것입니다.

도움이되기를 바랍니다.

출처

2012-06-01 04:29:24 rekire

+0

나는 그것을 얻지 않았다. 모든 헤더가 원본과 같을 때 어떻게 내가 다른 사람인지 감지 할 수 있습니까? – undone

+0

다른 체크가 예 : 두 번째 숨겨진 토큰 나는 로그인 프로세스 동안 토큰이 함수와 함께 읽혀 지지만 그것을 repreduce 할 수는 없다는 것을 알 수있다. 왜 그런 세션을 훔칠 수 없는지 확실하지 않습니다. 그러나 어쨌든 웹에서 오는 모든 것을 구문 분석하지 못하도록하는 것이 더 좋은 아이디어입니다. – rekire

관련 문제

 관련 문제