主要针对两种情形：用户将Cookie进行破解恶意用户劫持Cookie冒充登陆怎样设置Cookie才能记住用户的登陆状态并相对安全呢？

回答Session的朋友们，我猜测题主肯定是希望用户能够保存登录态，以便下次访问的时候自动登录。你们提Session，请问如下问题如何解决？ Session 超时怎么算？ SessionID 也需要存在Cookie中。关于题主的问题：加密的问题，AES加密即可，强壮的密钥不会被破解，具体加/解密请看 @eechen 的 https://segmentfault.com/q/10... 防止被XSS注入后，得到Cookie。 httponly 即可，session_id和登录态都需要httponly，javascript无法获取到具备httponly属性的cookie php的原生 session_id 并非 httponly，所以 laravel 中自己实现了 session 的所有逻辑，并支持database、file、redis等驱动

如何设置一种较为安全的Cookie以保存登陆状态？

jack_king

30742333

发布于
2016-10-08

主要针对两种情形：

用户将Cookie进行破解
恶意用户劫持Cookie冒充登陆

怎样设置Cookie才能记住用户的登陆状态并相对安全呢？

cookie php

python

阅读 6k

6 个回答

得票最新

__陈亚荣

4302510

发布于
2016-10-08

✓ 已被采纳

1. 用户将Cookie进行破解

对于这种情况，可以考虑的是加密的复杂度，以及校验逻辑的升级。比如，将访问时间、客户端IP这些东西都作为Cookie 加密的一部分，增加破解难度。

2. 恶意用户劫持Cookie冒充登陆

因为Cookie 的加密是结合了客户端的IP 信息的。所以，即使Cookie被用到其他的机器来访问，但是IP 本身也是不匹配的，验证无法通过。

同时，我们还可以考虑在服务端，SESSION 存储该Cookie 的信息，用来跟上传信息进行比对，检验cookie信息是否有被篡改过。

这中间的方法各种各样，只是需要分析我们要考虑到什么地步。

member

6.2k11026

发布于
2016-10-08

更新于
2016-10-08

回答Session的朋友们，我猜测题主肯定是希望用户能够保存登录态，以便下次访问的时候自动登录。你们提Session，请问如下问题如何解决？

Session 超时怎么算？
SessionID 也需要存在Cookie中。

关于题主的问题：

加密的问题，AES加密即可，强壮的密钥不会被破解，具体加/解密请看 @eechen 的https://segmentfault.com/q/10...
防止被XSS注入后，得到Cookie。
httponly即可，session_id和登录态都需要httponly，javascript无法获取到具备httponly属性的cookie