标签: python security session cryptography client-side
可以检查带有Itsdangerous的签名cookie的内容,但不能更改。 使用Itsdangerous进行客户端会话管理时是否存在任何已知的安全问题或注意事项?
有问题的会话不会存储任何密码,但显然会有一些信息来识别用户,例如
答案 0 :(得分:1)
如果您没有在签名上使用超时,攻击者可以简单地从其他用户(或管理员)换出cookie。会话ID更不透明,这意味着攻击者需要依次尝试每个会话ID,但是可以即时检查签名字符串(例如,开放代理服务器)。