暴露我的cookie创建过程是不安全的吗?

时间:2015-03-10 15:37:02

标签: php symfony security cookies

在我的项目中,在某些地方,我需要通过javascript创建一个cookie。 我试着写一个非常分离的过程,最后我得到了一个像这样的symfony服务:

<?php

namespace Evo\SecurityBundle\Service;

use Symfony\Component\HttpFoundation\Response;

class Cookie
{
    /**
     * @var
     */
    protected $cookiesParams;

    /**
     * Constructor
     *
     * @param $cookiesParams
     */
    public function __construct($cookiesParams)
    {
        $this->cookiesParams = $cookiesParams;
    }

    /**
     * Création de cookie interne
     *
     * @param $name
     * @param $value
     * @param null $expire
     * @param string $path
     * @param null $domain
     * @param bool $secure
     * @param bool $httponly
     * @return Response
     */
    public function setInternalCookie($name, $value, $expire = null, $path = '/', $domain = null, $secure = false, $httponly = true)
    {
        $response = array();

        if( isset($_COOKIE['accept-cookies']) ) {
            $response['success'] = true;
            $response['existed'] = true;
        }
        else {
            $response['success'] = true;
            $response['existed'] = false;
        }

        if( !isset($_COOKIE['accept-cookies']) ) {
            if( is_null($expire) ) {
                $expire = strtotime('+' . $this->cookiesParams['max_lifetime']);
            }
            if( is_null($domain) ) {
                $domain = $_SERVER['SERVER_NAME'];
            }
            $cookieSet = setcookie($name, $value, $expire, $path, $domain, $secure, $httponly);

            $response['success'] = $cookieSet;
            $response['set'] = $cookieSet;
        }

        return new Response(json_encode($response));
    }

}

大多数时候,我用PHP控制器调用,所以没有任何暴露。但在某些地方,我需要通过javascript创建我的cookie。所以我写了一个控制器动作接收参数并调用我的Cookie服务。我的控制器是这样的:

<?php

namespace Evo\SecurityBundle\Controller;

use Symfony\Bundle\FrameworkBundle\Controller\Controller;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\Response;

class CookieController extends Controller
{
    /**
     * Créé un cookie interne, via le service de Cookie
     *
     * @param Request $request
     * @return Response
     */
    public function setInternalCookieAction(Request $request)
    {
        try {
            if(!$request->request->has('name') || !$request->request->has('value')) {
                throw new \Exception('Mandatory cookie parameter missing.');
            }

            $cookieService = $this->container->get('security.cookie');
            $response = $cookieService->setInternalCookie('accept-cookies', 1);
        }
        catch(\Exception $e) {
            $response = new Response(json_encode(array('success' => false, 'error' => $e->getMessage())));
        }
        return $response;
    }
}

我用AJAX这样称呼它:

// set cookie via ajax call
$.ajax({
    type: "POST",
    url: "/set-internal-cookie",
    data: {'name': 'cookie-name', value: 'cookie-value'}
    dataType: 'json'
});

通过此过程,有人可以轻松找到如何创建自定义Cookie。它不安全吗?

1 个答案:

答案 0 :(得分:1)

始终公开良好的安全流程。默默无闻的安全虽然有时很有帮助,但并不是一个好的策略。

这就是说:您需要确保完全暴露的机制仍然不会受到损害(或者不合理,具体取决于您的安全需求),例如通过合理安全的加密或其他验证过程。

相关问题
最新问题