1

当我使用秘密 cookie 函数来设置和获取 cookie 时,http 客户端获取并发送包含 cookie 的字符串。

我知道 cookie 是安全的:客户端无法在不知道密钥的情况下更改 cookie 的内容。

但饼干是秘密吗?客户端可以在没有密钥的情况下从字符串中提取 cookie 吗?

4

1 回答 1

4

cookie 已签名但未加密,因此客户端可以轻松查看它们包含的数据(它只是 base64 编码的)。如果您需要对 cookie 的内容保密,则必须单独对其进行加密。

于 2013-11-04T13:30:35.163 回答