我知道如果我登录网站,我会收到set-cookie个max-age/expires values标题,告知这些Cookie何时过期。现在我想知道的是,这些cookie是否会在client side上过期?所以浏览器在server side上摆脱它们 OR ,以便服务器阻止/删除它们?我想询问某人是否有可能使用fiddler/charlesProxy之类的内容来延长Cookie的使用年限。
答案 0 :(得分:2)
客户端的Cookie具有与之关联的到期日期和时间值。在指定日期之后&时间,浏览器不会尊重该cookie,并会在进一步的HTTP(s)请求中跳过该cookie。
我想询问某人是否有可能使用fiddler / charlesProxy
之类的东西延长cookie的年龄一个。如果我们篡改HTTP请求,cookie将到达服务器。 (我们可以使用fiddler / charlesProxy实现这一点)
湾或者,如果我们在浏览器缓存中篡改到期日期,浏览器将再次开始兑现它。 (我们可以使用浏览器cookie编辑器来实现这一点,例如Advanced Cookie Manager)
结论:对于时间敏感的任务,我们不能信任cookie的价值。 例如,会话ID将仅以加密格式与其关联的时间戳,以便人们无法篡改它。