Cookies 如果我使用SSL，是否需要对Cookie进行签名/加密？_Cookies_Encryption

Cookies 如果我使用SSL，是否需要对Cookie进行签名/加密？

cookies encryption

Cookies 如果我使用SSL，是否需要对Cookie进行签名/加密？,cookies,encryption,Cookies,Encryption,如果我通过SSL提供我的所有web内容，我是否需要进行另一层加密并对cookie数据进行签名？SSL/TLS仅提供防止通信被拦截和/或修改的保护。它对客户端硬盘上的文本文件（即cookie）不作任何保证如果您想阻止用户向您的web应用程序提供伪造的cookie信息，那么是的，您需要对cookie数据进行签名。如果您想阻止用户看到cookie数据，那么您也应该对其进行加密。您能否进一步解释如何签署“防止用户向您的web应用程序提供伪造的cookie信息”@Domi查看维基百科页面。没有私钥，用户

如果我通过SSL提供我的所有web内容，我是否需要进行另一层加密并对cookie数据进行签名？

SSL/TLS仅提供防止通信被拦截和/或修改的保护。它对客户端硬盘上的文本文件（即cookie）不作任何保证

如果您想阻止用户向您的web应用程序提供伪造的cookie信息，那么是的，您需要对cookie数据进行签名。如果您想阻止用户看到cookie数据，那么您也应该对其进行加密。

您能否进一步解释如何签署“防止用户向您的web应用程序提供伪造的cookie信息”@Domi查看维基百科页面。没有私钥，用户无法对cookie数据应用有效的数字签名。因此，服务器将检测到签名无效，并且不信任cookie数据。如果cookie只是一个长的随机字符串，纯粹用作会话标识符，那么签名不会增加任何安全性，对吗？@Domi

session Id:1234

我可以将硬盘上的

更改为

，现在我可能劫持了那次会议。或者类似的东西<代码>会话Id:1234，基于以前数据和私钥的签名现在，如果我更改

，签名无效。服务器知道这一点，因为他用一个秘密创建了它。然后服务器知道不信任这个cookie数据。文章甚至没有提到siging，但是还有其他有趣的事情，我还不知道。谢谢有类似“饼干变形”的东西吗？其中，您有一个客户端脚本，可以在每次请求时不断更改cookie，服务器也会对此进行跟踪（具有一定的容差，以便丢失的客户端请求不会干扰协议）？