我正在使用基于cookie的身份验证技术进行Web服务身份验证。 我在客户端的机器上使用加密技术设置cookie值。 我在Web服务方法中使用的cookie值用于身份验证。 我的疑问是,是否可以通过任何浏览器中的任何第三方扩展工具编辑cookie值?
答案 0 :(得分:1)
是的,这确实很容易。一个例子是Firefox浏览器的“编辑Cookies”插件(https://addons.mozilla.org/de/firefox/addon/edit-cookies/)。
在您的方案中,您担心插件,因此跨站点脚本或跨站点烹饪保护机制都不起作用。这些保护机制仅适用于Web内容(例如AJAX调用)。但由于插件/扩展程序可以更多地访问客户端环境,因此可以轻松地与cookie存储库进行交互。