如果用Cookie实现单点登录的话,安全方面需要注意什么?

朝野布告
  • 97

公司的一项目,多个站点应用都是用子域名的,如果用cookie实现相同顶级域单点登录的话,即:
站点1:a.sflove.com
站点2:b.sflove.com
两个站点都将使用域为.sflove.com的cookie来共享登录情况
这样的话安全方面需要注意什么呢?需不需要使用https?

回复
阅读 8.4k
4 个回答

总结下:
1、像楼上说的设置为http-only
2、涉及登录凭证(如票据或者用户名)应该加密
2、cookie不能存放隐私数据,像用户名可以,密码不可以(即使加密也不应该考虑)!

把cookie加密吧~~之前的一个项目就是这样做的~

防止cookie被伪造 防止cookie被窃取 我说的这两方面是跟用不用https无关

建议使用 http-only 的 cookie, 防止本地 JS 读取到用户权限相关的 Cookie 吧

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
宣传栏