我正在创建一个需要用户登录的网站,我只使用一个cookie来设置用户登录。是否安全?
可以用firebug删除Cookies所以用户可以使用任何软件为我的网站创建一个cookie并使我的代码变得傻瓜吗?
请回复他们是否可以阻止他们这样做?
答案 0 :(得分:1)
是
Cookie来自客户端。
恶意客户端可以发送它喜欢的任何数据,无论是cookie,URL还是POST有效负载。
如果您想阻止这种情况,您可以使用仅驻留在服务器上的密钥对您的cookie进行加密签名。
这样,恶意客户端就无法签署任何假cookie。
您仍然需要阻止重播攻击。