标签: security cookies tornado
当我使用秘密cookie函数时,设置并获取cookie,http客户端获取并发送包含cookie的字符串。
我知道cookie是安全的:客户端在不知道密钥的情况下不能改变cookie的内容。
但cookie是秘密的吗?客户端可以在没有密钥的情况下从字符串中提取cookie吗?
答案 0 :(得分:4)
Cookie已签名但未加密,因此客户端可以轻松查看其中包含的数据(它只是base64编码的)。如果您需要保密cookie的内容,则必须单独加密。