Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我正在创建一个需要用户登录的网站,并且我只使用一个 cookie 来设置用户登录。它安全吗?
可以使用 firebug 删除 Cookie 那么用户可以使用任何软件为我的网站创建 cookie 并让我的代码变得愚蠢吗?
如果他们可以请回复如何阻止他们这样做?
是的。
Cookies 来自客户端。
恶意客户端可以发送它喜欢的任何数据,无论是 cookie、URL 还是 POST 有效负载。
如果您想防止这种情况发生,您可以使用仅驻留在服务器上的密钥对您的 cookie 进行加密签名。 这样,恶意客户端就无法签署任何虚假的 cookie。
您仍然需要防止重放攻击。