我在会话中使用用户代理验证。如果用户代理正在更改,我们将删除会话。
但我面临着使用谷歌oauth重定向的IE9的问题。
当IE9访问我们的网站时,IE拥有有效的IE9用户代理
所以用户代理是
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
但是从用户代理重定向变为
之后 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; .NET CLR 1.1.4322; .NET4.0C; .NET4.0E)
所以我的会话验证逻辑在这种情况下失败了。 是否有任何方法使用ie9强制IE回退到IE9用户代理
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
答案 0 :(得分:1)
添加用户代理检查不会使会话更安全。没有条件,攻击者将拥有会话ID并且没有用户代理。您的安全系统与此相同:http://domain/?is_hacker=No。如果你想让你的会话更安全,你应该启用cookie secuirty标志并删除这个废话检查。