Cookie安全
本话题发布Cookie安全相关的问答文章和技术分享,将持续更新,为您推荐了8篇问答,访问即可查看更多精彩内容。
-
2
回答
12浏览
React中如何防范Cookie被劫持?我的会话有时会被盗用
我在用React开发登录功能时,发现用户登录后的session_id存放在Cookie里,但最近测试时发现可以通过XSS漏洞直接读取到这个Cookie。虽然设置了HttpOnly和Secure属性,但...
-
2
回答
23浏览
移动端设置HttpOnly和Secure后,JS为何仍能读取Cookie?
为什么移动端设置Cookie的HttpOnly; Secure属性后,JavaScript还能通过document.cookie读取到值?明明应该被阻止才对啊。 我确认服务器响应头有Set-Cooki...
-
2
回答
43浏览
Session固定攻击怎么防?我的登录流程可能有漏洞?
我在开发登录功能时发现,用户登录后会设置session cookie,但测试时发现攻击者可能通过固定session ID来劫持账户。虽然设置了HttpOnly和Secure属性,但测试工具仍能预设se...
-
2
回答
78浏览
设置Cookie的Domain为子域名后,主域名无法访问,该怎么解决?
我在子域名测试.example.com设置了一个Cookie,代码这样写的:document.cookie = "auth=123; Domain=test.example.com; Path=/;"...
-
2
回答
74浏览
如何确保Cookie内容不被篡改?Secure+HttpOnly还不够吗?
在开发登录功能时,我设置了Cookie的Secure和HttpOnly属性,但测试发现攻击者仍能修改Cookie中的role字段(比如把普通用户改成管理员)。除了用HTTPS加密传输,还有哪些方法能验...
-
2
回答
77浏览
第三方Cookie设置了SameSite=Strict为什么还是被跨站访问了?
我在电商网站项目里设置了SameSite=Strict和Secure属性,但今天测试发现广告联盟的第三方域名还是能读取到用户的登录Cookie,这是怎么回事? 尝试过在响应头这样配置: Set-Coo...
-
2
回答
63浏览
如何确保前端Cookie内容没有被篡改?
最近在做用户登录功能时发现,如果直接用document.cookie = "userId=123",怎么防止中间人修改Cookie里的userId呢? 试过给Cookie加了加密,但后来想到就算加密了...
-
2
回答
83浏览
为什么设置了max-age的Persistent Cookie没保存到下次访问?
我在登录接口里设置了带max-age=3600的Cookie,明明设置了持久化时间,但刷新页面后cookie就消失了。测试代码是这样的: res.cookie('token', token, { ma...
