会话cookie的URL重写
会话cookie的URL重写
提问于 2016-09-01 11:33:00
我在ASVS 3.0.1 (V3.6)中无意中发现了这一点。我想知道这是什么,我找不到任何有意义的解释。
回答 2
Security用户
回答已采纳
发布于 2016-09-01 12:23:39
这似乎是指将会话令牌作为SomeAction.do;jsessionid=863F3D24DEFA?Id=19形式的GET请求的一部分编写到URL中的实践,这显然是错误的做法,不建议使用。
Security用户
发布于 2016-09-01 11:43:44
如果没有某种示例,就不完全清楚什么是什么意思,但我推测这意味着“永远不要在cookie中存储URL参数”。这样做可能会打开大量XSS漏洞的站点。如果您使用会话变量执行此操作,则可能只需使用复制的URL即可劫持会话。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/135561
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号