我想知道,是否有关于何时使用会话和Cookie的指南或最佳做法? 应该和不应该存储什么?谢谢!
答案 0 :(得分:4)
这些文档很好地解读了会话cookie的安全问题,以及如何解决这些问题。
总之,您在服务器上保留了一个密钥。使用此密钥,您可以计算密钥的安全哈希值,时间戳以及cookie中所需的任何数据。您在cookie中包含安全哈希,时间戳和数据。
当您收到请求时,您可以验证您是否获得了预期的签名。所以没有人篡改过cookie内容。
答案 1 :(得分:1)
仅识别会话和非安全敏感用户首选项的数据。
编写安全应用程序的主要规则是,敌方可以在将数据返回给您之前轻松修改数据。因此,您不应该假设从客户端提交的任何值都可以安全使用而无需验证。标准技术是在服务器上保存数据并仅交换密钥,以您可以检查修改的方式构造。 (即,不要使用用户ID或帐号,因为恶意客户端可以系统地操纵此类值以尝试从其他用户或会话中检索数据。)