我正在我的网站上使用 cookie。有些是用户身份验证 cookie(我知道加密很重要),而另一些只是存储用户特定的数据,例如他们的显示首选项。我的问题是:这些 cookie 的存在是为了增强用户体验,而重复访问服务器来解密这些 cookie 显然会使用户体验变慢。我有什么理由要加密这些 cookie 吗?如果我忽略了这样做,用户在读取仅发生在客户端的 cookie 时会有更流畅的体验。谢谢
问问题
95 次
1 回答
2
你用不好的例子提出了一个有效的问题。非关键 cookie 不需要加密。
但是 对于非关键 cookie,我会考虑语言选择、页面主题、最喜欢的搜索等。它们不需要加密,因为它们传输的信息不是机密的。但它仍然意味着应该检查这些值,即。不直接包含在页面内容中,不被隐式信任,因为用户可以更改其值。
至于用户篮子(我认为这很关键)......您应该将数据保存在会话中并向用户发出会话cookie......就是这样。或者,如果您使用 cookie,对其进行加密并检查其内容,然后再对从该 cookie 或任何 cookie 接收的数据做出任何决定或操作。
您必须记住,加密 cookie 并不一定意味着无法更改值,而是意味着无法读取它,因此您应该始终加密一些上下文信息,即。用户名、时间、ID 等,并在解密后验证它们。
于 2013-01-09T14:12:32.310 回答