我想知道是否存在安全问题 id 我在 cookie 中设置了我的用户的 _id 以识别用户,或者最好设置一个 cookie 用户名和其他人编码 pwd
谢谢
问问题
91 次
2 回答
2
是的,这绝对是一个安全风险——这意味着,如果用户可以发现_id另一个用户的信息(例如,如果您不小心将其显示在某个地方),他们可以以该用户身份登录。更糟糕_id的是,事后无法更改,因此无法强制另一个会话远程注销或从被盗的 cookie 中恢复。
使用会话登录,而不是用户特定的数据。
于 2012-11-18T20:51:21.767 回答
0
一种评论,一种回答。
提出的选择都很糟糕。也称为莫顿叉。
将用户ID放入cookie中:不好,因为正如duskwuff所说,cookie可以被盗并且ID被传回。没有办法阻止它。
将用户名和加密密码放入 cookie: bad 原因完全相同。
第三种选择更可取:发回具有有限生命周期的加密会话 ID。一旦服务器确定会话超时,就不要再使用它了。
于 2012-11-18T21:18:43.647 回答