私はフロントエンドのHTML Webサイトを持っており、オンラインでWebAppをホスティングするWebアプリケーションにリクエストを投稿しています。これらのhtmlページは、どのマシンでもローカルに実行されます。したがって、彼らはクロスサイト要求をしています。クロスサイトからのセッションとCookie
私は、Webアプリケーションに送信されるリクエストごとにクッキーを保存し、これらのクッキーを検証することを考えています。それは最善の方法ですか?
また、ユーザーが1ページから別のページに行き来する(ログインする必要がある)場合は、ページの先頭にあるHTMLからCookieを使用してリクエストを送信し、リダイレクトします彼のクッキーが有効でない場合、それに応じてログインページに?
ありがとうございます。
あなたの計画は正しいようです。あなたはあなたのアクセストークンをどのように保存しようとしているのかをよく考える必要があります。私はそれにコード化されたIP、ユーザー名、セッションの有効期限を持つアクセストークンを使用します。
しかし、チェックの結果が偽装される可能性があるため、ページの読み込みを確認するだけでは最適な方法ではありません。あなたのウェブアプリケーションが情報を持っているかどうかを決めることができるように、情報の要求ごとにこのアクセストークンを送るべきです。
Aha great。 IP/username/sessionexpエンコーディングでは、私が作成したcookieの値を意味します。これらの3つの値を暗号化する必要がありますか? – Nisho
はい、あなたは、ユーザーがまだページにアクセスする権利を持っているかどうかをサーバサイドでチェックすることができます。そのユーザーがログインしたIPからのデータしか要求できないようにするためのip(攻撃者がページにアクセスしていない限り、ページにアクセスするためにアクセストークンを「盗む」man-in-the-middle攻撃同じネットワーク)、データを送信する必要のあるユーザーの処理用のユーザー名、および追加のセキュリティ対策のためのセッションの有効期限。 (攻撃者に盗まれたアクセストークンを使用する時間を少なくする)。完全に保護されているのは非常に難しいですが、これはほとんどの攻撃者を開始して落胆させる良い方法です。 –
私は正しく理解すれば、この問題は、あなたがコーディングの部分を求めているのではなく、セキュリティの意味を尋ねているので、http://security.stackexchange.com/にもっと適していると思います。 –