我是网络编程新手,但不是编程新手,我遇到了 cookie 的概念,以保持相同用户网站/网络服务器的不同请求之间的状态使用 cookie?
他们将敏感的infn(如用户ID和密码)放在用户端的cookie上,并且可以被其他人篡改?
我的问题是,除了开销之外,他们在客户端存储关于 cookie 的信息(除非他们想将用户暴露给其他人)会有什么优势 - 仅仅存储会话 ID 和服务器上维护的所有其他细节还不够吗?
我的意思是为什么所有关于 cookie 中毒的问题 - 如果问题如此容易解决和直截了当?
问问题
95 次
1 回答
1
人们不会将敏感数据放入 cookie 中。他们只放那些经常需要的东西。例如计数器变量或项目列表,并且也是非常加密的形式。
如果您看到有人将密码等敏感数据放入 cookie 中,这仅表示他们只是在尝试学习(这不是一件坏事)。
但是,如果您在实际生产中看到 cookie 中的敏感数据,那么您的安全性肯定存在非常大的问题。
编辑
Advantages of putting data in cookies
好吧,有几件事浏览器必须向服务器发出请求,这是可以避免的。例如,您可以放置图像的 url 或一些 json 数据,这些数据在您的 web 应用程序的多个页面上使用。通常这些东西也不会经常改变,例如session id. 因此,您一定要尽量减少通过网络发送的此类网络请求或数据。
这可以为用户带来更快的页面并减少服务器的负载。
于 2013-10-25T08:57:46.703 回答