我有一个加密的JWT,想要存储在一个HttpOnly安全cookie&通过SSL发送。但是,由于我第一次访问我的网站时没有设置cookie,所以阻止某人创建具有相同名称的cookie在创建cookie之前,我想要创建的cookie值?基本上,如果他们在登录前欺骗cookie,那就是我实际创建我的cookie?
似乎我必须确保我的cookie始终以某种方式首先被创建以防止这种情况,因为Httponly会阻止这个直到我创建我的cookie才生效,对吗?我是否有什么东西可以防止/规避这种情况?
答案 0 :(得分:1)
如果某人可以欺骗JWT,这意味着您用于签署令牌的秘密已被泄露。没有办法解决这个问题,但要改变你的秘密。
否则,如果存在包含无法验证的数据的Cookie,则您拒绝该Cookie(将其删除)并且不会继续执行该请求(例如,返回401状态)。