如果你能正确复制的话,答案是肯定的
既然你不能阻止你自己复制文件,那么就需要在服务端做些处理了
比如你可以在用户表中增加一个ip字段,用于保存用户登录或最后访问时的ip地址
检查用户是否合法时,不仅要检查 cookie 中是否用相关数据,还需要检查访问时的ip是否与用户表中的ip一致
既然你不能阻止你自己复制文件,那么就需要在服务端做些处理了
比如你可以在用户表中增加一个ip字段,用于保存用户登录或最后访问时的ip地址
检查用户是否合法时,不仅要检查 cookie 中是否用相关数据,还需要检查访问时的ip是否与用户表中的ip一致
ip不一致就提醒重新登录?
比如我在公司用京东 我回家又用京东
ip肯定变化
那也没见人家提示要重新登录啊
作为网站一方应该注意两点:
1.什么重要内容需要做这样的防范,例如银行用cookies也没用的,肯定要登录,因为什么都重要
2.是否允许多点同时登陆一般情况下,用cookies是为了方便一些“移动用户”在不固定的地点使用,所以基本上增加对客户端唯一性的判断也会限制了这个目的,所以这是个取舍的考虑
登入时不是有个选项是“是否记录cookies“,不选就安全了。
如果你存在银行卡里就没关系了 因为偷了你钱包 他也不知道你密码!cookie确实有这种缺陷 因为缺少防复制的机制, 所以一般默认是隐藏的! 你可以加一些验证 例如浏览器验证 ip验证等 总之 就是想办法判断与原来的客户端是否匹配
cookie本来就是方便别人快速登录的,限制得太死还有用么?限制IP绝对是个坑,大部分上网都是动态IP。
cookie本来就是方便别人快速登录的,限制得太死还有用么?限制IP绝对是个坑,大部分上网都是动态IP。楼主问的是如何防范 不是限制有没有用! 我没说限制有多大用 只是说一些防范的方法! 还有 像你们这样的学生大部分不是很注意安全性,但是对于企业就不太一样 只能说大部分个人用户是动态ip!
cookie本来就是方便别人快速登录的,限制得太死还有用么?限制IP绝对是个坑,大部分上网都是动态IP。楼主问的是如何防范 不是限制有没有用! 我没说限制有多大用 只是说一些防范的方法! 还有 像你们这样的学生大部分不是很注意安全性,但是对于企业就不太一样 只能说大部分个人用户是动态ip!那咱来告诉你如何防范
一,绝对不要以明文将帐号密码记录在cookies里,这是最基本的,即使真有能耐复制到cookie你也没办法知道帐号和密码。
我相信还是会有人这样做。
二,防cookies复制是绝对不可能的,往这边想已经是死路了,许多网站会告诉你,不要在公共场所勾选记录登录状态的选项,因为你离开的时候其他人会有机来使用你的帐号,即使cookies没被偷窃。
三,就算是自己家里,别人还是有机会通过病毒木马啥的盗窃到你的cookies,这时候怎么防?像淘宝那样,让cookies更快过期,关闭浏览器以后要求重新输入密码登录,涉及安全和交易的操作提供多级密码和其他身份验证保护。提供禁止异地登录的开关,IP是动态的,但是几乎不会帮你分配外地的IP,除非ISP抽风。
四,提供额外的身份认证机制,像网银的证书。提醒用户使用更安全的浏览器,保持更新电脑上的杀毒软件确保拥有更安全的操作环境。别人拿刀架你脖子上逼问帐号密码咋办?