为 HTTPS 加密 cookie(安全 cookie)有什么意义吗?据我所知,在 HTTPS 中整个请求都是加密的,那么我们是否需要对 cookie 进行额外加密?
问问题
114 次
1 回答
3
这完全取决于您的安全模型。您仍然需要加密 cookie 的一些原因:
您是否关心您的应用程序的用户是否获取 cookie 的内容?换句话说,您是否在其中存储了任何不应该向用户披露的内部内容?
您是否关心用户是否篡改了 cookie 的内容?加密可以成为一种获得完整性保护的方法,具体取决于您的操作方式。(当然,还有其他方法。)
披露 cookie 的后果是什么?如果它是不记名令牌,是否加密不会有太大区别,但如果它包含有价值的数据,加密它可以防止攻击者以某种方式访问浏览器存储的 cookie(无论是通过网络攻击或对托管浏览器的实际系统的攻击)。您仍然可能以其他方式输给攻击者,但它可以提供一些深度防御。
加密 cookie 为您提供的主要功能是保护接收 cookie 的用户(或可以访问该用户数据的攻击者),如果您需要的话。
于 2013-03-20T23:20:43.710 回答