Je me demande, y a-t-il des lignes directrices ou des pratiques exemplaires sur l'utilisation des sessions et des cookies? Qu'est-ce qui devrait et ne devrait pas être stocké? Merci!Qu'est-ce qui devrait être stocké dans une session et dans un cookie?
Répondre
Ces documents sont une bonne façon de lire les problèmes de sécurité de session les cookies, et comment les contourner.
En résumé, vous gardez une clé secrète sur le serveur. Avec cette clé, vous pouvez calculer un hachage sécurisé sur la clé secrète, un horodatage et toutes les données que vous voulez dans le cookie. Vous incluez le hachage sécurisé, l'horodatage et les données dans le cookie.
Lorsque vous recevez une demande, vous pouvez valider que vous obtenez la signature attendue. Donc, personne n'a altéré le contenu des cookies.
Seules les données identifiant la session et les préférences utilisateur non sensibles à la sécurité.
L'une des principales règles d'écriture d'applications sécurisées est qu'une partie hostile peut facilement modifier les données avant de vous les renvoyer. Par conséquent, vous ne devez pas supposer que toutes les valeurs soumises par un client peuvent être utilisées sans validation. Une technique standard consiste à conserver des données sur le serveur et à n'échanger qu'une clé, construite de telle sorte que vous puissiez vérifier les modifications. (N'utilisez pas l'ID utilisateur ou le numéro de compte, car un client hostile pourrait systématiquement manipuler une telle valeur pour essayer de récupérer des données d'autres utilisateurs ou sessions.)
- 1. Que devrait être stocké dans un cookie pour un système de connexion?
- 2. Ce qui devrait être dans un contrôleur de navigation
- 3. Comment puis-je lire un objet stocké dans une session?
- 4. Ce qui devrait être dans deux jours Formation Hibernate
- 5. C++: Cookie pas stocké dans une machine, mais stockée dans un autre
- 6. comment nsdecimalnumber devrait-il être stocké dans la base de données?
- 7. Comment tester un code qui ne devrait jamais être exécuté?
- 8. comment utiliser session/cookie dans twisted.web?
- 9. Persister Textbox dans le cookie/session automatiquement
- 10. PHP: Prévention du détournement de session avec un jeton stocké en tant que cookie?
- 11. Problème avec la récupération d'un cookie stocké
- 12. Appeler un proc stocké dans un proc stocké
- 13. Devrait être un groupe unique dans un projet multimodule?
- 14. Démarrer manuellement une session avec un cookie de session id/transition spécifique entre domaines
- 15. la session expire et mon cookie aussi
- 16. Qu'est-ce qui devrait être inclus dans une norme de programmation C#?
- 17. pycurl: comment réinitialiser une session cookie
- 18. C# Envoyer un cookie dans un HttpWebRequest qui est redirigé
- 19. L'état de la session asp.net doit-il être stocké dans une base de données distincte des données de l'application?
- 20. Coldfusion Session Cookie
- 21. ce qui est stocké dans les cookies
- 22. Quelle devrait être l'accessibilité des champs dans une classe abstraite?
- 23. cookie session PHP sessionid
- 24. Est-ce que cookie peut faire une tâche de session pour vérifier votre statut de connexion et quelques doutes dans cookie et session et n'importe quel endroit spécial pour cookie dans la page HTML
- 25. Comment définir une valeur dans un cookie ou d'une session dans Drupal
- 26. Devrait-il être dans un espace de noms?
- 27. Cookie de session d'adhésion ASP.NET
- 28. Ce qui devrait être un code de réponse http par manque d'autorisation basée sur la session PHP
- 29. Can XpsDocuments peut-il être sérialisé en XML pour être stocké dans une base de données?
- 30. Vérification du caractère de départ devrait être « T » et suivant 3 caractère devrait être le numéro dans xslt
le premier lien ne fonctionne pas –
Vous avez trouvé un autre hôte auquel le document doit être lié. – Christian