Cookie安全

我最近在做用户登录功能，发现登录前后浏览器里的sessionid Cookie完全一样。查了下资料，说这可能是Session固定攻击的隐患？但我后端是用PHP写的，登录时明明调用了session_re...

我最近在做登录功能，后端返回的 token 存在 Cookie 里，但听说 Cookie 容易被窃取，想自己加密一下。可是前端加密真的有用吗？比如用 CryptoJS.AES.encrypt 加密后再...

我在做登录功能时想用 Cookie Prefix 来增强安全性，但设置 __Host- 前缀后浏览器根本不保存 cookie，这是为啥？ 我后端返回的 Set-Cookie 头是这样写的：Set-Co...

我用 Express 的 cookie-parser 中间件加了签名，但发现用户手动改 Cookie 值后，服务端居然没报错，还能正常解析，这不就等于没签名吗？ 我代码是这样写的： const exp...

我在做登录功能，后端返回 token 后我用 JS 存到 Cookie 里，但听说 Cookie 容易被 XSS 偷走，是不是得加密？可前端加密好像也没用啊，密钥放哪都不安全…… 现在代码是这样存的：...

我们后端设置了登录态的 Cookie，但发现有些用户手动改了 Cookie 里的 userId，然后就能访问别人的数据。明明后端做了签名验证，但前端有时候还是会拿到被篡改过的值，比如用 DevTool...

我在做登录功能，后端返回了session cookie，但听说如果没设安全属性很容易被XSS偷走。我试过加HttpOnly，但前端又没法读了，现在不知道该怎么平衡安全和功能。 比如我现在登录页的样式是...

我在用React开发登录功能时，发现用户登录后的session_id存放在Cookie里，但最近测试时发现可以通过XSS漏洞直接读取到这个Cookie。虽然设置了HttpOnly和Secure属性，但...

为什么移动端设置Cookie的HttpOnly; Secure属性后，JavaScript还能通过document.cookie读取到值？明明应该被阻止才对啊。 我确认服务器响应头有Set-Cooki...

我在开发登录功能时发现，用户登录后会设置session cookie，但测试时发现攻击者可能通过固定session ID来劫持账户。虽然设置了HttpOnly和Secure属性，但测试工具仍能预设se...

我在子域名测试.example.com设置了一个Cookie，代码这样写的：document.cookie = "auth=123; Domain=test.example.com; Path=/;"...

在开发登录功能时，我设置了Cookie的Secure和HttpOnly属性，但测试发现攻击者仍能修改Cookie中的role字段（比如把普通用户改成管理员）。除了用HTTPS加密传输，还有哪些方法能验...

我在电商网站项目里设置了SameSite=Strict和Secure属性，但今天测试发现广告联盟的第三方域名还是能读取到用户的登录Cookie，这是怎么回事？ 尝试过在响应头这样配置： Set-Coo...

最近在做用户登录功能时发现，如果直接用document.cookie = "userId=123"，怎么防止中间人修改Cookie里的userId呢？ 试过给Cookie加了加密，但后来想到就算加密了...

我在登录接口里设置了带max-age=3600的Cookie，明明设置了持久化时间，但刷新页面后cookie就消失了。测试代码是这样的： res.cookie('token', token, { ma...