我正在阅读一个旧的应用程序,它将用户的用户名和密码保存为cookie - 作为“记住我”的功能。这种方法有什么问题,如果有的话?
我想如果有人在网站的其中一个页面上进行了恶意javascript注入,但是除了那个之外还有其他安全风险,那么密码可能会被删除吗?
答案 0 :(得分:4)
您正在通过Internet以及每个HTTP请求以明文形式传输密码。如果您不使用SSL,则存在窃听的风险。
答案 1 :(得分:3)
显而易见的一个问题是,如果有人在用户的浏览器发送到您的服务器时拦截了cookie,那么他们就可以冒充该用户。请参阅Firesheep。
答案 2 :(得分:1)
Cookie位于客户端,因此任何有权访问用户计算机的人都可以阅读它。