Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Java 应用程序引擎会话安全问题_Java_Security_Google App Engine_Session - Fatal编程技术网
Fatal编程技术网
  • java/
  • Java 应用程序引擎会话安全问题

Java 应用程序引擎会话安全问题

java security google-app-engine session

Java 应用程序引擎会话安全问题,java,security,google-app-engine,session,Java,Security,Google App Engine,Session,我正在将用户状态(已登录/用户id)存储在app engine的会话中。知道其他用户UserId的用户是否可以操纵其cookie并以其他用户的身份登录 我应该采取什么措施来防止这种情况 一个用户不可能直接从另一个用户访问数据。但是,一个用户有办法窃取另一个用户的登录会话。但这并不是GAE特有的 见: (CSRF) 劫持很容易发生在开放的wifi热点上。一个常见的解决方案是使用托管您的站点 当用户登录到您的网站并在同一浏览器中打开恶意网站时,就会发生CSRF。有多种方法可以防止这种情况。一个常见

我正在将用户状态(已登录/用户id)存储在app engine的会话中。知道其他用户UserId的用户是否可以操纵其cookie并以其他用户的身份登录

我应该采取什么措施来防止这种情况

一个用户不可能直接从另一个用户访问数据。但是,一个用户有办法窃取另一个用户的登录会话。但这并不是GAE特有的

见:

  • (CSRF)
    • 劫持很容易发生在开放的wifi热点上。一个常见的解决方案是使用托管您的站点

    当用户登录到您的网站并在同一浏览器中打开恶意网站时,就会发生CSRF。有多种方法可以防止这种情况。一个常见的解决方案是在HTML表单中包含一个随机变量。另外,设置HTTP响应:
    X-Frame-Options:sameorigin
    并检查请求头
    X-Requested-With
    对于非ajax点击不等于“XMLHttpRequest”

    XSS可用于使这些攻击更有效,因此也可以对其进行保护

    对于这些类型的攻击,请让您的用户快速响应

    我不是安全专家。但我学到的是:

    • 使用HTTPS
    • 不要使用框架
    • 在表单中为每个请求使用新的CSRF令牌
    • 并将状态保存在数据存储中,而不是使用会话cookie存储