登录后Session ID没变,是不是有Session固定风险?
我最近在做用户登录功能,发现登录前后浏览器里的sessionid Cookie完全没变。查资料说这可能有Session固定攻击的风险,但我不确定是不是真的有问题。
后端是用PHP写的,登录时只是验证账号密码,没主动调用session_regenerate_id()。是不是必须在登录成功后换一个新的Session ID?有没有必要每次都换?
试过在登录逻辑里加了下面这段代码,但不确定是否足够安全:
session_start();
// 验证用户名密码...
if ($valid) {
session_regenerate_id(true); // 登录后重新生成Session ID
$_SESSION['user_id'] = $user_id;
}
- 2
回答
53浏览
Session绑定后怎么还是被CSRF攻击了?我的实现有问题吗?
我在做用户登录时把sessionID存到cookie里,并在服务端把session和用户ID做了绑定。但测试时发现,攻击页面通过已登录的浏览器发起请求,服务端居然能拿到正确的用户信息。我试过设置coo...
- 2
回答
68浏览
Session固定攻击怎么防?我的登录流程可能有漏洞?
我在开发登录功能时发现,用户登录后会设置session cookie,但测试时发现攻击者可能通过固定session ID来劫持账户。虽然设置了HttpOnly和Secure属性,但测试工具仍能预设se...
- 1
回答
22浏览
OpenID Connect 登录后如何在 Vue 中安全存储 ID Token?
我用 OpenID Connect 接入了公司的统一认证,登录成功后拿到了 ID Token,但不确定该存 localStorage 还是 sessionStorage,听说都有安全风险? 现在我是这...
- 2
回答
15浏览
前端如何配合后端实现 CSRF 的 Session 绑定验证?
我最近在做登录功能,后端说要用 Session 绑定的方式来防 CSRF,但我搞不太明白前端要怎么配合。是不是每次请求都要带一个 token? 我看后端在登录成功后往 Session 里存了个 csr...
- 2
回答
38浏览
Session绑定CSRF Token后前端怎么正确发送?
我后端用Session存了CSRF Token,登录后返回给前端,但我每次提交表单时还是被拦截。是不是我发请求的方式不对? 我试过把token放在header里,也试过放在body里,但都失败了。后端...
- 2
回答
49浏览
为什么StatelessWidget的数据在修改后界面没变化?
我在用StatelessWidget实现一个计数器,点击按钮时调用父组件的回调修改数据,但界面始终没变化。已经确认数据确实更新了,也尝试过用setState()强制刷新父组件,但子组件显示的数值还是没...
- 1
回答
16浏览
前端怎么防止 Session 被劫持?Cookie 设置对了吗?
我最近在做登录功能,后端返回了 Set-Cookie 头,但我担心被 XSS 或中间人攻击偷走 Session。我看文档说要加 HttpOnly 和 Secure,但本地开发用的是 http,加了 S...
- 1
回答
28浏览
前端做CSRF防护时,Session绑定到底该怎么配合样式写?
我最近在给登录表单加CSRF防护,后端说要用Session绑定token,但我搞不清前端怎么配合。我试过把token塞进hidden input,但样式这块有点懵——比如下面这段CSS是不是会影响表单...
- 2
回答
7浏览
StatelessWidget里怎么用CSS样式?是不是搞错了?
我刚学Flutter,看到UI代码里有个StatelessWidget,但里面写了CSS,这不对吧?Flutter不是用Dart写样式的吗? 我试了下面这段代码,结果直接报错,说找不到CSS相关的类:...
- 1
回答
17浏览
FID指标高是不是因为点击事件没优化?
最近用Lighthouse测性能,发现FID(首次输入延迟)经常超过100ms,页面点按钮老是卡一下。我明明没写啥复杂逻辑啊,是不是哪里没处理好? 比如这个简单的按钮,点击后只是切换个class,但F...
你已经在登录逻辑里加了session_regenerate_id(true),这个做法是对的。true参数表示会话数据会被复制到新的会话里,然后再删除旧的会话数据,这样可以防止数据丢失。
不过,每次用户操作敏感操作(比如修改密码、更改个人信息等)后也建议重新生成session id,增加安全性。这样即使session id泄露,攻击者也无法利用它进行长时间的会话劫持。
总结一下,登录成功后必须换一个新的session id,其他敏感操作后也最好换一次。优化一下你的登录和敏感操作逻辑,增加安全性。