在我的网站中,我使用基于cookie的身份验证系统,我在浏览器cookie中保存用户名和密码等登录凭据。这是一种不好的做法吗?如果是这样,这可能对安全构成威胁?
答案 0 :(得分:1)
这绝对是一种不好的做法。您永远不应该将敏感信息保存在cookie中。这些信息可以在用户的机器上以纯文本形式访问,并且可以更改并发送回具有错误数据的应用程序。您应始终将其存储在服务器上,可以是会话变量,也可以永久存储在数据库中。
对于您的应用程序正常运行敏感或关键的任何事情都应该避免。您可以存储用于改善用户体验的内容,例如布局,颜色,上次查看的页面等。只要您通过密码进行身份验证,您也可以存储用户名以提供“记住我”类型的登录。