窃取会话 ID cookie - 对策

Question

通过其他用户在受信任站点中植入的 JavaScript 函数，可以轻松窃取会话 ID Cookie。针对这种攻击有哪些可能的对策？

拒绝客户端上的所有 javascript 脚本可能很困难，因为几乎所有网站都使用 js。服务器端有哪些可能的对策？是否可以在会话 ID 值中包含客户端 IP 地址的哈希值，以防止其他主机使用有效的会话 ID？这种方法有意义吗？

在您有价值的答案中提到的资源之一中，提出了一种解决方案，其中会话 ID 在每次请求后都会更改。应用程序服务器/框架是否已经支持这样的功能？特别是 Django/python 怎么样？

Answer 1

进行 IP 到会话映射确实很尴尬，因为您无法保证人们不使用代理，而且这些代理可以轻松更改 IP。

您能做的最好的事情就是使用 SSL，并使您的 cookie 仅限 HTTP。

Answer 2

您需要指定某个 cookie 用于某个主机、域、子域或其他任何内容。 Cookie 支持这一点。

我不认为您可以访问其他域的 cookie。

Answer 3

是否可以包含哈希值
会话中的客户端 IP 地址
id 值以防止有效
会话 ID 可以从另一台主机使用吗？
这种方法有意义吗？

在某些情况下，这可以阻止会话劫持，但在攻击者计算机和受害者计算机位于同一网络的情况下，它不会执行任何操作，因为连接来自同一 IP 地址。

服务器端可能采取哪些对策？

如果某人连接到公共网络，使用 SSL 将有助于防止会话劫持。

您可以检查您的代码并确保没有 XSS 缺陷在你的代码中。

您还可以确保用于存储会话的 cookie 具有 HTTP Only 标志。

Answer 4

这称为 XSS。首先防止在客户端植入 JavaScript 代码的最佳解决方案。

一个有趣的解决方案是为每个用户操作提供基于令牌的身份验证。请查看 OWASP CSRF 页面了解更多信息。

编辑： 正如评论所述，令牌无助于缓解会话劫持问题。正如维基百科文章关于会话劫持所述，最好的解决方案是轮换会话 ID，每次重新加载页面时都可以这样做。

Answer 5

• 只安装您信任的 JavaScript。如果您对代码不确定，请检查源代码（也许使用某种 XSS 扫描程序）。

• 使用以下简单的 javascript 片段过滤您的 javascript（从输入）：

  函数清理(html){
  `返回字符串(html)
  .replace(/&(?!\w+;)/g, '&')
  。代替（/
  .replace(/>/g, '>')
  .replace(/"/g, '"');
  }

必须还具有良好的服务器端过滤（输入）功能。例如，PHP 有过滤器扩展。

• 使用仅限http的cookie。
• 使用 SSL。