Cookie签名后为什么还是能被篡改?
我用 Express 的 cookie-parser 中间件加了签名,但发现用户手动改 Cookie 值后,服务端居然没报错,还能正常解析,这不就等于没签名吗?
我代码是这样写的:
const express = require('express');
const cookieParser = require('cookie-parser');
const app = express();
app.use(cookieParser('my-secret-key')); // 设置签名密钥
app.get('/set', (req, res) => {
res.cookie('token', 'abc123', { signed: true });
res.send('Cookie set');
});
app.get('/get', (req, res) => {
console.log(req.signedCookies.token); // 即使前端改了 token 值,这里有时还能输出?
res.send(req.signedCookies.token || 'none');
});
是不是我哪里理解错了?签名不是应该防止篡改的吗?
- 1
回答
56浏览
React中如何验证Cookie数据未被篡改?
我在React项目里用js-cookie设置cookie,但不确定怎么防止别人篡改内容?比如这个登录token: import Cookies from 'js-cookie'; ...
- 2
回答
91浏览
设置 Cookie 的 Max-Age 为什么没生效?
我在前端用 JavaScript 设置了一个带 Max-Age 的 Cookie,但发现它好像没起作用,关闭浏览器后 Cookie 还在。我查了文档说 Max-Age 是秒数,应该能控制过期时间,但实...
- 2
回答
59浏览
Cookie被篡改了怎么办?如何保证前端收到的Cookie没被用户修改?
我们后端设置了登录态的 Cookie,但发现有些用户手动改了 Cookie 里的 userId,然后就能访问别人的数据。明明后端做了签名验证,但前端有时候还是会拿到被篡改过的值,比如用 DevTool...
- 1
回答
40浏览
为什么设置的Cookie在浏览器里看不到?
我在本地开发时用 document.cookie = "token=abc123" 设置了 Cookie,但在 Chrome 开发者工具的 Application 面板里完全找不到,这是为啥? 我试过...
- 2
回答
63浏览
前端如何防止Cookie被第三方脚本窃取?
我在做登录功能时,后端设置了HttpOnly的Cookie,但还是担心XSS攻击下其他恶意脚本能读取到敏感信息。虽然HttpOnly能阻止JS访问,但如果页面引入了不可信的第三方脚本,会不会有别的泄露...
- 2
回答
53浏览
Cookie签名后怎么验证才安全?
我在用 Express 写登录功能,后端用 cookie-parser 签了名的 Cookie,但前端每次读取的时候都拿不到原始值,只看到带 .sig 的一串。我试过直接用 document.cook...
- 2
回答
47浏览
为什么浏览器发送的 OPTIONS 请求没有携带 Cookie?
我在做跨域请求时发现,预检请求(OPTIONS)好像没带 Cookie,但正式请求却有。这是为啥? 我用的是 fetch 发请求,设置了 credentials: 'include',但 OPTION...
- 2
回答
105浏览
HttpOnly Cookie 为什么前端读不到?是我设置错了吗?
我在后端设置了带 HttpOnly 的 Cookie,但前端用 document.cookie 怎么都读不到,是不是我哪里配置错了? 后端是用 Node.js 写的,代码大概是这样的: res.coo...
- 2
回答
98浏览
为什么我的Double Submit Cookie防CSRF方案在登录接口失效?
我在用Double Submit Cookie防CSRF时遇到奇怪的问题:其他接口都正常,但登录接口总提示"CSRF Token mismatch"。我检查了cookie设置和请求头,代码看起来没问题...
- 2
回答
50浏览
设置了Secure标志的Cookie为什么在HTTPS页面读取不到?
我按照文档配置了服务器返回的Cookie携带Secure标志,但发现HTTPS页面始终无法通过document.cookie获取到该Cookie。明明在开发者工具的Network标签里看到响应头确实有...
在你的代码里,
req.signedCookies.token是未定义或者false时才会输出 'none'。但是,如果你手动改了 cookie 值,实际上req.signedCookies.token会是false或undefined,而不是原来的值。你可能有时候看到输出,是因为浏览器没有更新 cookie 值,或者是其他原因导致的。正确的做法是检查
req.signedCookies.token是否为false或undefined来判断 cookie 是否被篡改。你可以这样修改你的代码:这样就能正确识别出 cookie 是否被篡改了。希望这能帮到你,别再被这个问题坑了。
签名的实际机制是这样的:设置 signed cookie 时,cookie-parser 会把值和签名拼在一起,格式大概是
abc123.sigHASH,分成两部分用.分隔。当读取时,它会重新计算签名然后比对,如果不一致就直接返回 false,不会抛异常。你的代码里
req.signedCookies.token有时还能输出,可能是因为:1. 你改的是原始值,没改签名部分,或者
2. 你同时改了值和签名(虽然概率很低)
正确用法是必须手动判断返回值:
还有一点要确认——你读的是
req.signedCookies还是req.cookies?后者是原始未签名的值,任何改法都能读到。签名 cookie 必须走signedCookies这个属性。签名防篡改的原理其实就是这样:服务端重新计算签名比对,不一致就当无效处理,不会报错。这是常规做法,不是你的问题,是 cookie-parser 的设计风格比较"温柔"。