3
回答
网站免登陆时怎么实现的? 
注册华为云得mate10,2.9折抢先购!>>>   

@红薯  @彭博

 很多人说利用cookie保存加密后的密码和用户ID,当再次访问网站时服务器提取cookie的用户ID和密码,如果通过验证,则不需要重新输入账号和密码。

oschina好像就是这么实现的。当登录oschina时候,如果勾选”记住我的状态“,则登录成功后,浏览器就会记下一个oscid,当再次访问oschina的时候,估计oschina服务器会提取这个oscid进行身份验证,如果通过验证,则不需要重新登录。如果删除该cookie ,那么下次再访问oschina就需要重新登录了。

我的疑问是:假设网站A不存在任何漏洞,但网站A挂了网站C的广告,而网站C存在XSS漏洞,那么黑客就能通过注入JS脚本窃取用户的cookie,从而以该用户的身份登录网站A。 这么说“网站免登陆”功能是否存在先天安全隐患?除非网站A不植入第三方的广告或页面 


<无标签>
举报
mj4738
发帖于5年前 3回/2K+阅
顶部