-3

在我的网页上,我使用的是设置为1如果他们是管理员的 cookie

0如果他们不是

因此管理员可以访问某些功能,

如果有人愿意,在他们的本地 cookie 中将 0 变为 1 有多难?

4

3 回答 3

4

Cookie 存在于客户端,因此它们当然是可编辑的。就像来自客户端的所有其他东西一样,cookie 永远不能被认为是安全的。使用您的设计让某人成为管理员非常容易。

不要偷懒;将权限存储在服务器端并且在服务器端。

于 2013-01-29T03:55:34.393 回答
1

编辑 cookie 实际上很容易。chrome 等扩展编辑此 cookie 允许它在不离开浏览器的情况下完成。我将它用于简单的事情,例如在新闻纸网站上进行网络跟踪,从而限制您可以查看的文章数量。我重置了 cookie 计数,瞧,我可以查看更多文章。

如果您想演示它并将其应用到您的网站,谷歌编辑此 cookie。

于 2013-01-29T03:55:58.523 回答
1

编辑 cookie 很容易。

但这真的是你的意思吗?

会话变量存储在服务器上,因此不能被客户端修改。客户端只存储一个引用会话的 ID。

于 2013-01-29T03:57:30.357 回答