0
我有一個wcf Api爲我的網站的用戶提供數據(Angular build)。 每次用戶連接到我的網站時,我都會返回帶有令牌(JWT加密用戶ID)的客戶端,該令牌由客戶端存儲在本地存儲中,並由客戶端發送到服務器以便服務器知道誰用戶是。 問題在於它感覺像是安全漏洞。其他用戶可以複製該令牌並在他的瀏覽器上執行該令牌,以便讓他冒充其他用戶。 我在做什麼錯?我應該做什麼不同?用戶ID存儲在瀏覽器中的c#安全問題
我有一個wcf Api爲我的網站的用戶提供數據(Angular build)。 每次用戶連接到我的網站時,我都會返回帶有令牌(JWT加密用戶ID)的客戶端,該令牌由客戶端存儲在本地存儲中,並由客戶端發送到服務器以便服務器知道誰用戶是。 問題在於它感覺像是安全漏洞。其他用戶可以複製該令牌並在他的瀏覽器上執行該令牌,以便讓他冒充其他用戶。 我在做什麼錯?我應該做什麼不同?用戶ID存儲在瀏覽器中的c#安全問題
你在說什麼叫做Session Hijacking。
有多種解決方案,以防止這一點,但我不認爲任何解決方案的工作100%,但是看到這個鏈接的詳細信息:What is the best way to prevent session hijacking?