用户拒绝 Cookie 后,前端如何安全地处理后续请求?
我最近在做 GDPR 合规改造,用户第一次访问时弹出同意横幅,如果点了“拒绝所有”,我就不会写任何非必要 Cookie。但问题来了:有些 API 请求(比如用户行为埋点)依赖后端读取某些标识,现在因为没 Cookie,后端直接返回 400 错误。
我试过在请求头里加一个自定义字段 X-Consent: denied,但后端说这不可靠,因为前端可以伪造。有没有更稳妥的做法?比如是否应该完全跳过这些请求,还是用其他方式传递用户同意状态?
目前我的同意状态是存在 localStorage 里的,类似这样:
localStorage.setItem('user_consent', JSON.stringify({
analytics: false,
marketing: false,
necessary: true
}));- 1
回答
13浏览
Cookie被篡改了怎么办?如何保证前端收到的Cookie没被用户修改?
我们后端设置了登录态的 Cookie,但发现有些用户手动改了 Cookie 里的 userId,然后就能访问别人的数据。明明后端做了签名验证,但前端有时候还是会拿到被篡改过的值,比如用 DevTool...
- 2
回答
71浏览
加密后的Cookie在前端怎么安全处理?
我在项目里给敏感数据用了AES加密存到Cookie,但前端JS需要解密后做验证。现在纠结的是,如果直接把密钥写在代码里,感觉太不安全了,试过用环境变量替换密钥,但发现只要反编译JS还是能找到,有没有更...
- 2
回答
22浏览
前端设置Cookie时如何防止Session劫持?
我在做登录功能,后端返回了session cookie,但听说如果没设安全属性很容易被XSS偷走。我试过加HttpOnly,但前端又没法读了,现在不知道该怎么平衡安全和功能。 比如我现在登录页的样式是...
- 2
回答
83浏览
如何确保前端Cookie内容没有被篡改?
最近在做用户登录功能时发现,如果直接用document.cookie = "userId=123",怎么防止中间人修改Cookie里的userId呢? 试过给Cookie加了加密,但后来想到就算加密了...
- 1
回答
7浏览
Cookie Prefix 到底怎么用才安全?
我在做登录功能时想用 Cookie Prefix 来增强安全性,但设置 __Host- 前缀后浏览器根本不保存 cookie,这是为啥? 我后端返回的 Set-Cookie 头是这样写的:Set-Co...
- 1
回答
19浏览
前端如何防止Cookie被第三方脚本窃取?
我在做登录功能时,后端设置了HttpOnly的Cookie,但还是担心XSS攻击下其他恶意脚本能读取到敏感信息。虽然HttpOnly能阻止JS访问,但如果页面引入了不可信的第三方脚本,会不会有别的泄露...
- 2
回答
44浏览
Postman 中如何正确发送带 Cookies 的请求?
我在用 Postman 调试一个需要登录态的接口,后端返回了 Set-Cookie,但后续请求好像没自动带上 Cookie。我手动在 Headers 里加了 Cookie 字段也不行,是不是哪里配置错...
- 1
回答
18浏览
HttpOnly Cookie 为什么前端读不到?是我设置错了吗?
我在后端设置了带 HttpOnly 的 Cookie,但前端用 document.cookie 怎么都读不到,是不是我哪里配置错了? 后端是用 Node.js 写的,代码大概是这样的: res.coo...
- 1
回答
32浏览
前端如何处理用户同意GDPR Cookie才能加载第三方脚本?
我们网站用了 Google Analytics 和 Facebook Pixel,但欧盟用户访问时得先同意 Cookie 才能加载这些脚本。我试过用一个弹窗让用户点“同意”后再动态插入 script ...
- 2
回答
43浏览
React中如何防范Cookie被劫持?我的会话有时会被盗用
我在用React开发登录功能时,发现用户登录后的session_id存放在Cookie里,但最近测试时发现可以通过XSS漏洞直接读取到这个Cookie。虽然设置了HttpOnly和Secure属性,但...
暂无解答