如何停止 HTML 到 JSP 页面重定向的 cookie 操作?
How to stop cookie manipulation for HTML to JSP page redirection?
我正在尝试将我的用户从 html 页面重定向到 jsp 页面,该页面已使用 .war 文件部署在 tomcat/webapps 上。
在这样做的同时,我还通过 POST 方法将用户的会话信息作为隐藏参数发送。
在 burpsuite 工具(安全测试工具)的帮助下,可以轻松地操纵 cookie 并更改登录用户的用户名。我将如何阻止此类一种饼干操纵?
您无法control/prevent browser/client 发送什么,所以不要将收到的数据视为fact/true。您的应用程序不应该只查看用户名并说 "oh, it's the admin user, I show the whole admin area".
为防止篡改源自服务器的数据或至少检测更改,您使用加密或数字签名。对于加密数据,无法更改数据。您不知道如何解密数据并正确加密更改后的数据,因为您没有加密密钥来这样做。使用签名数据,您仍然可以读取数据,但签名确保您可以检测到数据是否已更改。
在您的情况下,您可以使用 JWT 而不仅仅是用户名。 JWT 包含一个数字签名,用于检查数据是否已更改。您的 "testing team" 可以更改数据,但您的服务器可以立即看到它已被更改并拒绝接收到的(更改的)信息。
我正在尝试将我的用户从 html 页面重定向到 jsp 页面,该页面已使用 .war 文件部署在 tomcat/webapps 上。
在这样做的同时,我还通过 POST 方法将用户的会话信息作为隐藏参数发送。
在 burpsuite 工具(安全测试工具)的帮助下,可以轻松地操纵 cookie 并更改登录用户的用户名。我将如何阻止此类一种饼干操纵?
您无法control/prevent browser/client 发送什么,所以不要将收到的数据视为fact/true。您的应用程序不应该只查看用户名并说 "oh, it's the admin user, I show the whole admin area".
为防止篡改源自服务器的数据或至少检测更改,您使用加密或数字签名。对于加密数据,无法更改数据。您不知道如何解密数据并正确加密更改后的数据,因为您没有加密密钥来这样做。使用签名数据,您仍然可以读取数据,但签名确保您可以检测到数据是否已更改。
在您的情况下,您可以使用 JWT 而不仅仅是用户名。 JWT 包含一个数字签名,用于检查数据是否已更改。您的 "testing team" 可以更改数据,但您的服务器可以立即看到它已被更改并拒绝接收到的(更改的)信息。