@怪人
2年前 提问
1个回答

cookie有哪些安全问题

帅末
2年前

cookie有以下安全问题:

  • Cookie篡改:这是最容易出现的情况,也就是直接修改Cookie的内容。我们知道,Cookie是存储在客户端的,所以里面的内容可以通过浏览器的控制台或者js代码进行修改的。因此Cookie相对而言是不可信的,如果我们把一些重要的信息,例如权限信息存在Cookie,很容易就被有心人篡改,导致越权问题。

  • Cookie劫持:很多网站是用Cookie来做用户识别的,因此如果用户的Cookie被劫持了,盗用者是可以用这个Cookie来伪装成该用户来进行网站操作的。Cookie劫持一般和XSS攻击一起使用,先通过XSS攻击获得了在页面上运行js的能力,然后通过js读取Cookie,并发送给远程的服务器。

  • Cookie作用域攻击:Cookie有两个很重要的属性Domain和Path,用来指示Cookie的作用域。如果我们的Cookie作用域设置得太高,即使我们开启了Cookie安全选项,攻击者仍可能通过设置一个更小作用域的Cookie来覆盖掉我们设置的Cookie,使得在这个小作用域内,生效的不是我们设置的Cookie,而是攻击者设置的Cookie。