我有一个网站,正在使用Cookie创建登录系统,因此用户可以保持登录状态,我相信您可以使用会话。我想知道恶意用户是否可以创建或修改域上的现有cookie。我知道他们可以删除它们,这很好,但是他们可以创建或修改它们吗?
答案 0 :(得分:1)
任何人都可以控制他们的浏览器,但他们喜欢。他们可以创建,编辑和删除cookie。
出于这个原因,你的cookie应该是长而随机的(或者至少是随意的,以至于无法与随机区分)。
它们应该对您的服务器有意义,它应该能够将它们与用户相关联,但对服务器外的任何人都没有意义。它们应该足够长且足够复杂,以至于猜测一个在统计上是不可能的。
您的服务器应该小心,不要对它收到的cookie值做任何假设。例如,我可以提交一个包含2,000个字符的cookie - 这不能导致它崩溃。
答案 1 :(得分:0)
您可以创建,删除和编辑浏览器Cookie,每个有权访问您计算机的人都可以阅读这些Cookie,然后进行复制,以便您可以窃取会话ID。
您无法手动修改会话,因为这是“服务器cookie”,只有服务器软件可以执行此操作。如果您需要商店密码或其他秘密信息,则不应将其存储在cookie中。它不安全,您可以存储令牌或会话ID,但不能存储密码等信息。