我对cookie存储设计有疑问。我正在开发一个Web应用程序,它应该将服务器获取的数据缓存到本地存储。不会存储用户凭据。
Cookie中包含的内容:
最新证明不是哈希值,但很可能是最后一次写入服务器的时间戳,该时间戳是针对数据库检查的。这是为了确保用户在其他浏览器/计算机/设备上使用该网站并且不同步时获得有效信息。
cookie应该能够处理其中的多个用户,并且很可能是某种加密,因此其他人无法看到纯文本数据。这里不需要军事级安全,因为这里的信息并不那么重要。但是,在不到30-60分钟内被攻击的一切都应被视为不安全。
问题:
答案 0 :(得分:2)
我会回答#5(这使得其他问题没有实际意义)。
Cookie不是为那种东西而设计的。他们使用每个 HTTP请求进行往返 - 包括在相同的域CSS,图像,JS等上。
我建议您查看HTML 5本地存储,或者每次只使用最小的密钥cookie将数据发送到浏览器。
对于#3 - 没有办法愚弄证据,以防止某人偷走cookie或伪造副本。