#security #session #internet-explorer-9
#Безопасность #сеанс #internet-explorer-9
Вопрос:
Я использую проверку агента пользователя в сеансе. Если пользовательский агент меняется, мы удаляем сеанс.
Но я столкнулся с проблемой с IE9 с перенаправлением Google oauth.
Когда IE9 попадает на наш сайт, IE имеет действительный агент пользователя IE9
Итак, агент пользователя
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
но после перенаправления из user-agent становится
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; .NET CLR 1.1.4322; .NET4.0C; .NET4.0E)
поэтому в этом случае логика проверки сеанса не работает.
Есть ли какой-либо способ с помощью ie9 заставить IE вернуться к агенту пользователя IE9
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Ответ №1:
Добавление проверки агента пользователя не делает ваш сеанс более безопасным. Не существует условия, при котором злоумышленник будет иметь идентификатор сеанса и не будет иметь агента пользователя. Ваша система безопасности идентична этой : http://domain/?is_hacker=No . Если вы хотите сделать свой сеанс более безопасным, вам следует включить флаги безопасности файлов cookie и удалить эту проверку.