避免會話劫持現場與HTTP

Question

，因爲我知道，以避免在https會話劫持的唯一途徑，但有些時候，我們不希望使用它。所以我考慮替代方法。

我解釋一下我的方式，也可以是可能的，或者是好辦法？

認爲我們有第三方服務器（我稱之爲Padra），它爲您提供API來檢查會話和cookie，您將在您的網站視圖中調用Padra jt文件（通過Padra域名保存的會話和cookie，沒有直接訪問它，但padra使用SSL），那麼你可以通過調用Padra API來檢查服務器端的會話和cookie值。

您對此有何看法？

Answer 1

我不認爲這是一個特別好的權衡。

問題：

• 你已經降低了信心，用戶在你的網站（即使你 有一個安全的實現，它不會有掛鎖/綠店/等）
• 現在，用戶有一個額外的資產下載，解析，運行和 因此減緩他們的經驗
• 如果第三方Cookie是disabled它完全不
• 工作，你在整個增加了額外的複雜性和不w還有一個 您需要管理的後端的額外外部依賴性

Answer 2

HTTP-ONLY頭有助於防止常見會話劫持和XSS漏洞。不要經歷這麼多麻煩，你可以嘗試使用它。