输入问题答案查看内容如何做比较安全?
如图,有这样一个表单,需求就是回答问题正确才能查看内容,在一定时间如1天内再次访问不用回答问题,请教各位一般通常可行的办法是什么?
目前的做法是:回答正确了,写一个cookie值为1,下次来判断这个cookie值是否为1,否则需要重新回答问题,这样做明显不安全,伪造一个cookie访问不就可以查看到受保护的内容了。
回复内容:
如图,有这样一个表单,需求就是回答问题正确才能查看内容,在一定时间如1天内再次访问不用回答问题,请教各位一般通常可行的办法是什么?
目前的做法是:回答正确了,写一个cookie值为1,下次来判断这个cookie值是否为1,否则需要重新回答问题,这样做明显不安全,伪造一个cookie访问不就可以查看到受保护的内容了。
你的做法接近了,但不够安全,更安全的做法是生成一个随机的Token,并设置有效期。这个token由于是随机的而且位数较多,不容易被伪造。
1.可以按楼上说的,你可以这样做啊,值是随机生成的,那么你是不是想问你怎么知道用户传过来的时候这个TOKEN是不是你随机生成的?我觉得可以放在缓存里如REDIS,并给一个有效期,他要是提交时我们查看没有这个值我们就认为他自己伪造的或者说是过期了已经。
2.如果这个页是用户登入的,你可以根据他的用户ID,在用DES加密生成一个COOKIE啊直接在COOKIE里给有效期。然后这样你就不怕他是不是伪造了,因为有人想伪造时,他不知道你的DES加密时的KEY是多少,只有你自己知道。
这样是否可行?
回答问题正确,存一个cookie,值是md5(今天日期+salt),下次访问校验的时候,计算md5(今天日期+salt)是否和存的cookie相同,就可以了。但是这样做,只能不用再次回答问题的有效时间是隔天就失效。
大家有更好的办法吗?
推荐阅读