人们可以在我的网站域上 modify/create cookies 吗?
Can people modify/create cookies on my websites domain?
我有一个网站,正在使用 cookie 制作一个登录系统,以便用户可以保持登录状态,我相信您不能使用会话来做到这一点。我想知道恶意用户是否可以创建或修改域中的现有 cookie。我知道他们可以删除它们,这很好,但是他们可以创建或修改它们吗?
任何人都可以随心所欲地控制他们的浏览器。他们可以创建、编辑和删除 cookie。
出于这个原因,您的 cookie 应该是长的且随机的(或者至少看起来随机到与随机无法区分的程度)。
它们应该对您的服务器有意义,应该能够将它们与用户相关联,但对您服务器之外的任何人都没有意义。它们应该足够长且足够复杂,以至于从统计上来说,猜测是不可能的。
您的服务器应注意不要对其接收的 cookie 值做出任何假设。例如,我可以提交一个包含 2,000 个字符的 cookie - 不能导致它崩溃。
您可以创建、删除和编辑您的浏览器 cookie,每个有权访问您的计算机的人都可以读取它们,并复制它们以便您窃取会话 ID。
您不能手动修改会话,因为这是"server cookie",只有服务器软件才能做到。如果您想存储密码或其他秘密信息,则不应将其存储在 cookie 中。它不安全,您可以存储令牌或会话 ID,但不能存储密码等信息。
我有一个网站,正在使用 cookie 制作一个登录系统,以便用户可以保持登录状态,我相信您不能使用会话来做到这一点。我想知道恶意用户是否可以创建或修改域中的现有 cookie。我知道他们可以删除它们,这很好,但是他们可以创建或修改它们吗?
任何人都可以随心所欲地控制他们的浏览器。他们可以创建、编辑和删除 cookie。
出于这个原因,您的 cookie 应该是长的且随机的(或者至少看起来随机到与随机无法区分的程度)。
它们应该对您的服务器有意义,应该能够将它们与用户相关联,但对您服务器之外的任何人都没有意义。它们应该足够长且足够复杂,以至于从统计上来说,猜测是不可能的。
您的服务器应注意不要对其接收的 cookie 值做出任何假设。例如,我可以提交一个包含 2,000 个字符的 cookie - 不能导致它崩溃。
您可以创建、删除和编辑您的浏览器 cookie,每个有权访问您的计算机的人都可以读取它们,并复制它们以便您窃取会话 ID。
您不能手动修改会话,因为这是"server cookie",只有服务器软件才能做到。如果您想存储密码或其他秘密信息,则不应将其存储在 cookie 中。它不安全,您可以存储令牌或会话 ID,但不能存储密码等信息。