在我的网页上,我使用的是设置为1如果他们是管理员的 cookie
0如果他们不是
因此管理员可以访问某些功能,
如果有人愿意,在他们的本地 cookie 中将 0 变为 1 有多难?
问问题
1407 次
3 回答
4
Cookie 存在于客户端,因此它们当然是可编辑的。就像来自客户端的所有其他东西一样,cookie 永远不能被认为是安全的。使用您的设计让某人成为管理员非常容易。
不要偷懒;将权限存储在服务器端并且仅在服务器端。
于 2013-01-29T03:55:34.393 回答
1
编辑 cookie 实际上很容易。chrome 等扩展编辑此 cookie 允许它在不离开浏览器的情况下完成。我将它用于简单的事情,例如在新闻纸网站上进行网络跟踪,从而限制您可以查看的文章数量。我重置了 cookie 计数,瞧,我可以查看更多文章。
如果您想演示它并将其应用到您的网站,谷歌编辑此 cookie。
于 2013-01-29T03:55:58.523 回答
1
编辑 cookie 很容易。
但这真的是你的意思吗?
会话变量存储在服务器上,因此不能被客户端修改。客户端只存储一个引用会话的 ID。
于 2013-01-29T03:57:30.357 回答