我最近一直在思考这个问题,我想知道是否有人想到/实现了任何直观的方法来保护 cookie 免受操纵。我一直使用“用哈希值对其进行签名,然后再检查哈希值”的方法,但在我看来,这并不是一种特别出色的方法,就像所有优秀的程序员一样,我想找到一个更好的方法这样做的方法。
至于为什么要专门使用 cookie,我不使用 native session - 我讨厌接触文件系统。 Cookie 是一种非常快速的存储数据的方法,以便以后使用,即使是用户身份验证之类的事情,我也会将用户 ID 放入 Cookie 中,也许还有用户名/电子邮件和签名,以及随机哈希值测量。
您使用了哪些巧妙的方法来保护您的 Cookie 数据?
最佳答案
呃,您将 UserID 存储在 cookie 中并根据该值授予用户访问权限?你这是在自找麻烦。基于服务器 session 的数据实现的存在是出于良好的安全原因:将 session 标识符存储在 cookie 中,并从服务器上的记录访问 UserID,客户端无法篡改它。
用于防止客户端篡改的 Cookie 安全性几乎是一个失败的原因。如果有足够的时间,有人会想出如何破解它。不要给客户这样的机会。 Cookie 安全的唯一目的是确保客户端的 Cookie 不被窃取。
关于cookies - 保护 cookie 的其他方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1319956/