Java 应用程序引擎会话安全问题
我正在将用户状态(已登录/用户id)存储在app engine的会话中。知道其他用户UserId的用户是否可以操纵其cookie并以其他用户的身份登录Java 应用程序引擎会话安全问题,java,security,google-app-engine,session,Java,Security,Google App Engine,Session,我正在将用户状态(已登录/用户id)存储在app engine的会话中。知道其他用户UserId的用户是否可以操纵其cookie并以其他用户的身份登录 我应该采取什么措施来防止这种情况 一个用户不可能直接从另一个用户访问数据。但是,一个用户有办法窃取另一个用户的登录会话。但这并不是GAE特有的 见: (CSRF) 劫持很容易发生在开放的wifi热点上。一个常见的解决方案是使用托管您的站点 当用户登录到您的网站并在同一浏览器中打开恶意网站时,就会发生CSRF。有多种方法可以防止这种情况。一个常见
我应该采取什么措施来防止这种情况 一个用户不可能直接从另一个用户访问数据。但是,一个用户有办法窃取另一个用户的登录会话。但这并不是GAE特有的 见:
X-Frame-Options:sameorigin
并检查请求头X-Requested-With
对于非ajax点击不等于“XMLHttpRequest”
XSS可用于使这些攻击更有效,因此也可以对其进行保护
对于这些类型的攻击,请让您的用户快速响应 我不是安全专家。但我学到的是:
- 使用HTTPS
- 不要使用框架
- 在表单中为每个请求使用新的CSRF令牌
- 并将状态保存在数据存储中,而不是使用会话cookie存储