gpt4 book ai didi

security - 窃取 "remember me"cookie 是有效威胁吗?

转载 作者:行者123 更新时间:2023-12-04 15:13:38 26 4
gpt4 key购买 nike

我正在使用 SSL 传输所有数据。 HTTP 已完全禁用。除了恶意软件,或者访问某人的物理机器(这两者都很难从服务器端阻止),我不知道攻击者如何窃取登录 cookie。

因此,不用担心窃取登录 cookie 可以吗?

正确实现不可窃取的登录 cookie,仍然允许用户跨不同浏览器和不同机器进行 session 的复杂性高于它所保护的 Material 。

因此,我认为可以不安全地防止在机器之间复制和粘贴 cookie 数据。

这是一个有效的权衡,还是我在这里忘记了一些关键的东西。

最佳答案

您确实需要确保您拥有 Secure在您的 cookie 上设置标志,因为您通常无法阻止人们尝试通过非 SSL 访问您的站点。否则,我相信你应该没事。

也就是说,我建议采取合理的预防措施。例如:

  • 切勿在 cookie 或线路中包含任何可用于导出用户密码的数据。
  • 如果可能,设置 HttpOnly标记敏感 cookie,以便任何可能不受信任的 JavaScript 无法窃取它们。
  • 关于security - 窃取 "remember me"cookie 是有效威胁吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13186550/

    26 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com