HTML Cookie安全性
我想让每个人都做些事情。我正在尝试升级一个网站并对其进行大修,当用户登录时,我注意到了一些事情。一些cookie被设置为昵称和用户名。该网站是一个在线商店,我注意到,如果我更改cookie值,我可以获得其他帐户的物品列表。只有当我破解cookie值并通过在.NET中创建一个自定义程序来更改它时,才允许我更改所有标题信息。对我来说,这在安全方面构成了一个潜在的巨大问题,但我不确定我是过度偏执还是这是一个真正的威胁。如果这是一个真正的威胁,我如何才能确保用户实际上就是用户,并且这些cookie没有被更改。到目前为止,我没有任何证据表明这个网站以前发生过这种情况。我记得读过关于雅虎的文章!而且他们被饼干锻造所攻击。(我想是这样的)。我不确定我是否解释得很好,或者是否有其他地方可以问这个问题。如果有人能给我指一个资源或东西,我将不胜感激 编辑(1):应该注意,cookie值以纯文本形式存储。这是一个糟糕的举动?我应该用这个答案来提高安全性吗HTML Cookie安全性,html,security,cookies,Html,Security,Cookies,我想让每个人都做些事情。我正在尝试升级一个网站并对其进行大修,当用户登录时,我注意到了一些事情。一些cookie被设置为昵称和用户名。该网站是一个在线商店,我注意到,如果我更改cookie值,我可以获得其他帐户的物品列表。只有当我破解cookie值并通过在.NET中创建一个自定义程序来更改它时,才允许我更改所有标题信息。对我来说,这在安全方面构成了一个潜在的巨大问题,但我不确定我是过度偏执还是这是一个真正的威胁。如果这是一个真正的威胁,我如何才能确保用户实际上就是用户,并且这些cookie没有被
编辑(2):转到我认为这肯定是一个安全问题。 有不同的方法来解决这个问题 我们通常会在用户登录应用程序时返回一个SessionID,您可以将其保存在Cookie或任何存储中 SessionID可能是一个GUID,它最终将与一个过期的特定用户相关 登录时,会在后端自动生成SessionID,获得有效ID的唯一方法是提供有效凭据
您可以像现在这样更改cookie值,但要猜出有效的GUID几乎是不可能的,因为您可以在多次请求尝试失败后自动阻止IP地址。应该处于启用状态。好的。谢谢那我就把它搬到那边去。40分钟的等待时间一到,我就把它移走。我将把它放在这里,希望能得到更多的见解。