Cookies-PHP与Javascript
关于安全性和便利性,哪些cookie比PHP cookie或Javascript cookie更好?没有“PHP”cookie或“Javascript”cookie这样的东西Cookies-PHP与Javascript,php,javascript,Php,Javascript,关于安全性和便利性,哪些cookie比PHP cookie或Javascript cookie更好?没有“PHP”cookie或“Javascript”cookie这样的东西 曲奇是曲奇是曲奇。重要的是你储存在里面的东西。那么,您在其中存储了什么呢?它们完全相同,当您在PHP上调用setcookie()时,它所做的只是发送一个HTTP头,由浏览器解释以在给定的生存期内存储cookie。Javascript也是如此。我不是安全专家,但有一点是肯定的。如果你在JavaScript中设置它们,因为它是
曲奇是曲奇是曲奇。重要的是你储存在里面的东西。那么,您在其中存储了什么呢?它们完全相同,当您在PHP上调用setcookie()时,它所做的只是发送一个HTTP头,由浏览器解释以在给定的生存期内存储cookie。Javascript也是如此。我不是安全专家,但有一点是肯定的。如果你在JavaScript中设置它们,因为它是前端,用户将看到你如何读写cookie以及你在cookie中放了什么,这意味着他有一个潜在客户。在PHP中执行此操作时,不会向他显示您是如何读写它们的,以及您是如何处理它们的。它们是相同的,在这两种情况下,cookie都会发送到浏览器,存储在那里,浏览器会在每个请求过期或被删除之前将其发送回您 <> P>出于这个原因,你不应该使用Cookie作为安全性<强>,正如你的问题所暗示的,也不是任何你认为重要的数据不会被最终用户保持不变。 当你使用cookie时,有五件事要永远记住:
1-您不能信任其内容
2-您不能假设它在下一次请求时仍然存在
3-您不能信任其内容
4-如果用户以前从未访问过,则不能假定该用户不在那里
5-您不能信任其内容
如果你明白了这一点,那么从php或javascript访问cookie只不过是一个什么对你更方便的问题。我不确定你问这个问题时是否意识到了一个事实,即对cookie支持一个额外的标志。在这方面,在支持该功能的浏览器中,包含
HTTPOnly因此,浏览器支持HTTPOnly Cookie的用户将能够更好地抵御XSS攻击。如果您谈论的是会话Cookie,那么与普通的会话Cookie相比,它们可以被认为是安全的。我不知道HTTP Cookie有不同的风格。@Greg,实际上是:)。有一个Cookie2规范。不过只有Opera支持。Cookie和安全性从来不是一句话。@Mike B,这是非常天真和错误的。它只关系到你在其中存储了什么。最终用户可以通过任何一种方式看到cookie,它仍然会显示值,并且智能用户可能会知道它到底是什么,除非它是加密的(不,base64不算),或者是一些无法理解的东西,比如哈希/会话ID。是的,他可以看到它,但是如果它是加密的或其他东西,他不会看到它是如何建造的。斯基丁:虽然我知道你要去哪里,但这不是我能保证的那种安全。如果用户阅读其内容是出于安全考虑,那么它可能不应该在cookie中。没有PHP或JavaScript cookie,但是只有PHP可以设置HTTPOnly cookies。Silky我知道这一事实,但我想知道在PHP或JST中实现cookies的利弊。这不重要,(仅适用于讨论中的HttpOnly)。正如我所说,重要的是你在其中添加了什么。设置在哪里并不重要。如果你想在负载均衡器响应之后设置cookie,那么javascript;如果你认为cookie是安全的,那么你应该看看Firefox的这个插件->