设为首页收藏本站
B. Malaysia手机版

佳礼资讯网

 找回密码
 注册

ADVERTISEMENT

搜索
佳礼资讯网»论坛 电脑手机 系统,软件 Cross Site Session Passing
返回列表 发新帖
查看: 1351|回复: 5

Cross Site Session Passing

[复制链接]
megablue
发表于 30-11-2009 12:11 PM | 显示全部楼层 |阅读模式
如果我把 *.abc.com 的user session 传给 *.cba.com (通过cba.com/cookie.php 有check referrer) 会有什么security concerns 吗? 然后两个sites的user session 都一样了. 那两个sites 都是在同一个Session system 里的.
回复

使用道具 举报


ADVERTISEMENT

megablue
 楼主| 发表于 5-12-2009 02:51 PM | 显示全部楼层
没有人懂吗?
回复

使用道具 举报

Legend
发表于 5-12-2009 05:22 PM | 显示全部楼层
你是不是想在不同的domain共用同样的session??
回复

使用道具 举报

archiles
发表于 5-12-2009 05:26 PM | 显示全部楼层
 就看你怎么传咯。 abc。com 传给 cba.com 的那段 ,假如 xyz 也假装成abc 传给cba 是否行的通? 你有encrypt abc给cba 的那段吗?
回复

使用道具 举报

megablue
 楼主| 发表于 6-12-2009 04:24 PM | 显示全部楼层
本帖最后由 megablue 于 6-12-2009 04:29 PM 编辑

Legend 发表于 5-12-2009 05:22 PM


你是不是想在不同的domain共用同样的session??




Exactly... 用是用到了...只是怕有security concerns.




就看你怎么传咯。 abc。com 传给 cba.com 的那段 ,假如 xyz 也假装成abc 传给cba 是否行的通? 你有 ...
archiles 发表于 5-12-2009 05:26 PM


那只是set client side的cookie (session id)...
也不是什么见不得光的data..就算是冒充...也得先攻破session system.而且也不用多此一举...直接在browser set cookie 也可以达到相同效果.
回复

使用道具 举报

Legend
发表于 7-12-2009 09:59 AM | 显示全部楼层
Exactly... 用是用到了...只是怕有security concerns.
megablue 发表于 6-12-2009 04:24 PM


security方面不是很清楚...你可以限制只有你两个doamin才可以access你的session...
如果你是通过url pass session id的话, 可能需要关注一下...
回复

使用道具 举报

Follow Us
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

 

所属分类: 电脑手机


ADVERTISEMENT


本周最热论坛帖子本周最热论坛帖子

ADVERTISEMENT


佳礼网 面子书


ADVERTISEMENT

ADVERTISEMENT


版权所有 © 1996-2026 Cari Internet Sdn Bhd (483575-W)|IPSERVERONE 提供云主机|广告刊登|关于我们|私隐权|免控|投诉|联络|脸书|佳礼资讯网

GMT+8, 17-5-2026 01:18 AM , Processed in 0.066127 second(s), 13 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表