HTTP Cookie:有什么方法可以确保它没有被复制?

时间:2010-09-22 20:28:33

标签: cookies

网站是否有任何方式可以通过cookie锁定到特定计算机的方式读取cookie,并且不会以某种方式将其复制到另一台计算机上?

2 个答案:

答案 0 :(得分:1)

假设你不相信终点 - 没有。

如果您不信任该用户,则无法确定。

如果您不信任计算机(例如,可能安装了恶意软件),那么您无法确定。

如果您不信任该连接(即它没有使用SSL保护),那么您无法确定。

您可以确定将Cookie与IP地址相关联,因为:

  • 多台计算机可以共享IP(例如,通过NAT)
  • 一台计算机可以循环通过多个IP(例如,一些大型ISP使用一组代理服务器)

您可以将从浏览器收集的一堆数据(例如用户代理字符串)作为cookie中的散列值包含在内,但如果某些内容更改了您要检查的数据或将cookie复制到另一台计算机上,则会中断具有相同的数据(虽然用户代理字符串可以变化很大,但两台计算机可以配置相同,并且在很多情况下它们可能是相同的(例如,在具有标准桌面安装的公司中,包括标准版本的浏览器和插件) )。

答案 1 :(得分:0)

你唯一能做的就是尝试在cookie中放入尽可能多的数据(浏览器用户代理,操作系统,屏幕分辨率......)。你必须加扰/加密数据。 如果你有时再次阅读cookie,你可以检查这些值是否仍然匹配。但当然这不是100%安全的解决方案,因为所有这些数据都可能被恶意用户伪造(如果他知道他究竟需要改变什么)