security - 在龙卷风中，安全 cookie 是秘密的吗？

Question

当我使用秘密 cookie 函数来设置和获取 cookie 时，http 客户端获取并发送包含 cookie 的字符串。

我知道 cookie 是安全的：客户端无法在不知道密钥的情况下更改 cookie 的内容。

但饼干是秘密吗？客户端可以在没有密钥的情况下从字符串中提取 cookie 吗？

Answer 1

cookie 已签名但未加密，因此客户端可以轻松查看它们包含的数据（它只是 base64 编码的）。如果您需要对 cookie 的内容保密，则必须单独对其进行加密。