在Cookie不良做法中仅存储用户名

时间:2019-02-14 08:59:42

标签: javascript security cookies credentials persistent-storage

在App中,我们将UserName的值传递给内部API

在对Ajax进行API调用之前,我正在调用一个名为GetUserName()的函数,如下所示。此函数基本上将用户名存储在cookie中。我不想总是对服务器进行Ajax调用以获取用户名。

代码: 

function GetUserName()
{

//TODO

1. If UserName Cookie exist, return it.
2. If UserName Cookie doesn't exist, then make Ajax call to server to Get 
   UserName and set the Cookie.

}

here所述,在客户端存储用户名和密码是不正确的做法。

但是想知道在这种情况下将用户名仅存储在cookie中是不正确的做法吗?还是应该加密UserName

任何帮助都会很棒。

1 个答案:

答案 0 :(得分:0)

用户可以(并且将)编辑cookie并最终使用其他用户的用户名。 如果该GetUserName函数纯粹是装饰性的,请继续,但是如果您将其用于与会话相关的操作,则会遇到麻烦 如果您打算这样做,请参阅OWASP section,了解会话ID和cookie的安全性。

相关问题
最新问题