Session 如何保护我的网站'；s会话cookie？_Session_Login_Https

Session 如何保护我的网站'；s会话cookie？

session login https

Session 如何保护我的网站'；s会话cookie？,session,login,https,Session,Login,Https,会话cookie正迅速成为登录管理的标准方式。然而，如果未加密发送，很容易劫持某人的会话现在，您可以通过让整个站点使用HTTPS来解决这个问题，但是如果有人在mysite.com中键入，浏览器默认为http。我们可以通过重定向来解决这个问题： RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 但是当我有机会重写URL时，我的会话cookie

会话cookie正迅速成为登录管理的标准方式。然而，如果未加密发送，很容易劫持某人的会话

现在，您可以通过让整个站点使用HTTPS来解决这个问题，但是如果有人在

mysite.com

中键入，浏览器默认为http。我们可以通过重定向来解决这个问题：

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

但是当我有机会重写URL时，我的会话cookie不是已经通过不安全的通道发送了吗？

仅使用安全选项将会话cookie标记为HTTPS。

仅Http设置也是另一个需要打开的设置，因为它阻止JavaScript在cookie集合中访问它。很有助于防范XSS。令人高兴的是，似乎有一个PHP选项用于此：……还有一个仅用于Http：：我想这取决于您使用什么语言来为站点供电。假设您使用的是Apache和PHP，答案是否定的，您的重写将在PHP启动并生成PHP会话（id）之前运行。是的，唯一的问题是找到某种方法阻止客户端发送它已经拥有的会话cookie。