如何安全地将数据存储在cookie中

时间:2011-08-12 11:33:57

标签: security cookies local-storage

我对cookie存储设计有疑问。我正在开发一个Web应用程序,它应该将服务器获取的数据缓存到本地存储。不会存储用户凭据。

Cookie中包含的内容:

  1. 数据列表及其属性
  2. 最新证明
  3. 最新证明不是哈希值,但很可能是最后一次写入服务器的时间戳,该时间戳是针对数据库检查的。这是为了确保用户在其他浏览器/计算机/设备上使用该网站并且不同步时获得有效信息。

    cookie应该能够处理其中的多个用户,并且很可能是某种加密,因此其他人无法看到纯文本数据。这里不需要军事级安全,因为这里的信息并不那么重要。但是,在不到30-60分钟内被攻击的一切都应被视为不安全。

    问题:

    1. 如何加密我的数据
    2. 如何为多个用户启用Cookie
    3. 如何防止cookie被盗
    4. 提供禁用cookie缓存的选项以及向用户解释在公共计算机上使用缓存的风险是一种简单明了的方法
    5. 整个想法一点都不好
    6. 我没有考虑到哪些潜在问题

1 个答案:

答案 0 :(得分:2)

我会回答#5(这使得其他问题没有实际意义)。

Cookie不是为那种东西而设计的。他们使用每个 HTTP请求进行往返 - 包括在相同的域CSS,图像,JS等上。

我建议您查看HTML 5本地存储,或者每次只使用最小的密钥cookie将数据发送到浏览器。

对于#3 - 没有办法愚弄证据,以防止某人偷走cookie或伪造副本。