很容易通过其他用户在受信任的网站上植入的javascript函数窃取会话ID cookie。有哪些可能的对抗措施?
拒绝客户端所有javascript脚本可能很困难,因为几乎所有网站都使用js。服务器端可能有哪些可能的对抗措施?是否可以在会话ID值中包含客户端IP地址的哈希值,以防止从另一个主机使用有效的会话ID?这种方法是否可行?
在您宝贵答案提到的资源之一中,提出了在每个请求后更改会话ID的解决方案。应用程序服务器/框架已经支持此功能吗?特别是Django / python如何?
拒绝客户端所有javascript脚本可能很困难,因为几乎所有网站都使用js。服务器端可能有哪些可能的对抗措施?是否可以在会话ID值中包含客户端IP地址的哈希值,以防止从另一个主机使用有效的会话ID?这种方法是否可行?
在您宝贵答案提到的资源之一中,提出了在每个请求后更改会话ID的解决方案。应用程序服务器/框架已经支持此功能吗?特别是Django / python如何?