ios - 从webview窃取cookie - Thinbug

从webview窃取cookie

时间：2016-03-13 21:16:27

标签： ios cookies web webview

在我的应用程序中，我使用cookie来实现“记住我”功能。用户通过webview登录，如果登录成功，网页将设置cookie。然后，此cookie用于在下次应用程序启动期间自动登录用户。我想知道这个cookie在设备上有多安全。有没有办法在没有越狱设备的情况下窃取用户cookie？如果是，我怎样才能使其安全？

1 个答案:

答案 0 :(得分：2)

这个问题太宽泛，无法特别回应 - 你应该考虑缩小以下几点：

您使用的是WKWebView还是UIWebView？他们使用完全不同的方法进行cookie管理。
您期望哪些攻击媒介以及您的产品对哪种安全级别有意义？

通常，安全级别和攻击媒介与一般浏览器大致相同。您可以查看OWASP TOP-10以确保您的Web应用程序可以抵御主要攻击媒介。

从设备的角度来看，Cookie可以从文件系统（使用iExplorer等应用程序）从解锁设备中窃取 - 您可以使用iOS Data Protection功能。

修改

通过iExplorer查看Cookie：

下载it;

连接iPhone并将其解锁

启动iExplorer，选择您的设备 - ＆gt;应用 - ＆gt;你的应用

您将看到应用的容器文件系统层次结构

导航库 - ＆gt; Cookie

选择.binarycookies文件并将其导出到Mac文件系统（右键单击 - ＆gt; iExplorer中的导出）

使用.binarycookies reader

相关问题

在Android上我首先从webview捕获cookie，然后删除会话cookie，然后再次设置cookie

Cookie setcookie没有反映出来

JavaFX WebView cookie

Android从webview获取会话cookie

从WebView中删除内存cookie /会话

将cookie从WebView复制到HttpUrlOpenConnection

从webview窃取cookie

UWP从网站获取cookie

Android WebView缓存/ Cookie问题

安全cookie（httponly cookie）是否可以从native-app（android，iOS）webview中读取？

最新问题

我写了这段代码，但我无法理解我的错误

我无法从一个代码实例的列表中删除 None 值，但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场？

是否有可能使 loadstring 不可能等于打印？卢阿

java中的random.expovariate()

Appscript 通过会议在 Google 日历中发送电子邮件和创建活动

为什么我的 Onclick 箭头功能在 React 中不起作用？

在此代码中是否有使用“this”的替代方法？

在 SQL Server 和 PostgreSQL 上查询，我如何从第一个表获得第二个表的可视化

每千个数字得到

更新了城市边界 KML 文件的来源？