@CI
2年前 提问
1个回答
使用Cookie时要注意哪些安全事项
房乐
2年前
使用Cookie时要注意以下安全事项:
Set-Cookie可以多次使用,并且可以放置更多的Key-Value数据,其中的每一个Key-Value数据项都是一个独立的Cookie,服务器通常会传送多个不同的Cookie到浏览器端,每个Cookie都对应特定的业务目标。
Cookie的值虽然都是字符串,但可以很长,具体多长呢?RFC规范没有给出具体的值,但一些测试表明,绝大多数浏览器都支持4096个字节长度的Cookie的内容。
Cookies的内容是需要被保存在浏览器中的,通常浏览器会用本地文件保存这些Cookie的内容。同时,服务器端需要提供Session对象,因此用户的状态是由浏览器与服务器双方配合实现的,任何一方的缺失都会导致用户状态信息的缺失。
在Cookies中不要存储用户的敏感(机密)信息,特别注意不要存储用户的明文密码,但可以考虑存储某种安全加密的信息,并且定期自动更新,避免被盗用和破解。
Cookie的脆弱性,Cookie中的内容大多数经过了编码处理,因此在人们看来只是一些毫无意义的字母数字组合,一般只有服务器的CGI处理程序才知道它们的真正含义。通过一些软件,如Cookie Pal软件,可以查看到更多的信息,如Server、Expires、Name和Value等选项的内容。由于Cookie中包含了一些敏感信息,如用户名、计算机名、使用的浏览器和曾经访问的网站等,攻击者可以利用它来进行窃密和欺骗攻击。