我有一个日期选择器导航,我将点击的日期保存为字符串(2015-08-31)并将其保存在cookie中:
$datepicker_field.on('change', function (e) {
if ($(this).val()) {
//Create readable date from mm/dd/yyyy
var splitDate = $(this).val().split('/');
var readableDate = splitDate[2] + '-' + splitDate[0] + '-' + splitDate[1];
document.cookie = "agendadate=" + readableDate;
}
});
我这样做,所以我可以在pagerefresh上将datepicker设置为该日期。使用户更容易进一步导航。
现在我的问题是:这对于XSS /会话劫持等是否安全?
答案 0 :(得分:1)
没问题。 值来自客户端,您将其保存在客户端(cookie)。 如果客户想要改变它,那么它取决于他们。 所以我认为没关系。
需要确保安全,以确保他们能够尽其所能, 他们不能做他们不能做的事。
答案 1 :(得分:1)
我认为向黑客公开日期没有任何风险。如果该信息是信用卡号,或者允许他们在您的站点中自动运行的用户凭据,则存在风险。
但由于您的数据不是敏感信息,因此将其存储在cookie中是完全可以的。