我正在使用SSL传输所有数据.HTTP已完全禁用.没有恶意软件,或访问某人的物理机(这两者都很难从服务器端防止),我不知道攻击者如何窃取登录cookie.
因此,可以不担心窃取登录cookie吗?
正确实施不可盗取的登录cookie的复杂性仍然允许用户在不同的浏览器和不同的机器上进行会话,这比其安全防护的材料要高.
因此,我认为没有安全防范从机器到机器的复制和粘贴cookie数据是可以的.
这是一个有效的权衡,还是我忘记了一些关键的东西.
您确实需要确保Secure在 cookie 上设置了标志,因为您通常无法阻止人们尝试通过非 SSL 访问您的网站。否则的话,我相信你应该没问题。
也就是说,我建议采取合理的预防措施。例如:
HttpOnly在敏感 cookie 上设置标志,以便任何可能不受信任的 JavaScript 无法窃取它们。| 归档时间: |
|
| 查看次数: |
690 次 |
| 最近记录: |