我正在玩饼干和东西,直到我注意到一个网站说你可以通过一个简单的代码轻松地通过导航栏设置cookie;
javascript: document.cookie="SESSID=IDOFSESSIONHERE;path=/"
执行此操作时,我可以在一台计算机上登录,将cookie数据复制到另一台计算机,并在刷新后与同一用户登录后通过此代码设置相同的cookie。
(仅在我制作myselve的简单网页上)
对我来说,这似乎是一个安全问题,我的意思是,当然他们首先需要获取cookie数据,但如果没有这个,我想你可以从cookie中用javascript:做很多伤害
有没有办法阻止导航栏中使用javascript:?
答案 0 :(得分:3)
用户是安全问题,而不是Javascript。用户向您提供了会话ID - 即您是否将密钥/密码提供给其他人?如果你做网站可以做什么?发送一个blioke来一直查看你的sholder
答案 1 :(得分:1)
您无法阻止导航栏中的JavaScript使用。我可以访问您的网站并使用Internet Explorer调试工具,Chrome调试工具或FireBug在您的网页上启动JavaScript代码。
由于JavaScript在访问者的本地计算机上运行,因此您无法控制它。只有访问者才能控制将在浏览器中存储哪些Cookie。
您需要做的是测量安全服务器端。但是,所有依赖于会话cookie的身份验证过程都会遇到您正在解释的安全问题。
答案 2 :(得分:1)
Javascript仅限于客户端,(例外是nodejs)。因此,不会对服务器造成任何伤害。
答案 3 :(得分:1)