https如何防止会话劫持

Question

我读过一些关于防止会话劫持的文章，大多数都说在你的网站上使用https，但我不明白https如何防止会话劫持

https如何防止会话劫持？

Answer 1

会话劫持也可以由嗅探您的网络流量的人执行。例如，假设您通过HTTP连接到Stackoverflow，并且有人正在读取您发送到服务器的每个请求。每次访问不同的页面时，都会将身份验证cookie与请求一起发送给Stackoverflow，这样它就会知道您已登录，并且不会要求您再次登录。

问题是，由于您的通信是以明文形式执行的，因此攻击者可以读取您的请求，他将能够窃取您的身份验证cookie，并能够冒充您。

现在，如果您使用HTTPS，您将通过加密通道进行通信。即使攻击者嗅探了您的所有请求，他也无法获得任何有意义的信息，因为他只能看到加密的文本。这就是为什么HTTPS可以很好地防止会话劫持的原因。当然，有不同的方法来劫持会话，中间的人只是其中之一，所以也许你应该看看这个：https://www.owasp.org/index.php/Session_hijacking_attack

此外，就像附注一样，“仅仅使用HTTPS”不是万能的，它需要被正确地配置和实现，所以如果你是要执行一些服务器端配置的人，我强烈建议你阅读更多关于协议和对协议的攻击的信息，以避免一些常见的错误(比如启用旧版本的SSL，或者使用破解的算法，比如RC4)。