极客观点
项目管理
HarmonyOS
请问各位大牛,cookie的不安全性是否是由于会在客户端服务器之间传递有被截获的可能,而不是说本地存储方式存在什么问题?另外有没有大牛愿意讲下cookie相比webStorage的独特优势,或者其他独到认识?
html5
cookie 可以被截获、窃取和篡改。
可以使用以下几种方式,保证 cookie 的安全性,都是服务端的操作。
1、使用 https 防止中间人截取
2、启用 HttpOnly 选项 禁止用户通过 JavaScript 操作 cookie
3、添加 secure
4、使用签名 cookie signedCookie 防止篡改
推荐阅读 Cookie安全漫谈
1、cookie有长度限制。XXXStorage存储量大
2、cookie可设置httponly,防止js操作。XXXStorage不可避免,易遭受XSS
3、cookie后端可直接获取。XXXStorage要前端操作
4、cookie易清除。XXXStorage不易,比如Android机清除LocalStorage很费劲
5、cookie易被劫持,CSRF重放攻击
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
想在H5项目,Vue3中实现扫一扫的功能,怎么实现比较好?
想在H5项目,Vue3中实现扫一扫的功能,怎么实现比较好?或者那种插件兼容性会比较好呢?5 回答1.4k 阅读
快开发完的Vue3项目要做SEO该如何处理?
快开发完的Vue3项目要做SEO该如何处理?项目已经快开发完了,领导让做SEO,目前的需求是首页做SEO,其他页面不需要优化去论坛上查了一下,发现好多针对Vue的SEO库都过时弃用了,大家有什么好用的库推荐吗?5 回答1.3k 阅读✓ 已解决
form对象根据表单dom元素的name属性获取元素对象是基于什么标准的?兼容性如何?
{代码...} {代码...} 这种基于name直接读取dom元素的写法,兼容性如何?有无标准说明?2 回答837 阅读✓ 已解决
关于标签上的事件绑定生效?
在标签上绑定click事件,当事件内直接写表达式时,报错当click事件绑定一个方法时,就可以正常跳转路由是因为针对标签和方法编译时期的不同吗?4 回答1.1k 阅读✓ 已解决
安卓+h5如何传输文件引用?
项目中使用 WebView 加载了一个页面,现在需要在安卓中把一个File对象传输到H5中使用,就像使用<input type="file"/>那样,可以通过input.files[0]获取到H5的File对象(它不会将文件读取到内存中),目前传输文件只能通过input方式,但是必须要用户点击才能触发。2 回答978 阅读✓ 已解决
小程序打开h5时,下载失效?
我在我们的小程序里用webview的方式打开了一个h5微信端网站,现在有个问题,这个h5里面有一个pdf的浏览功能,这个浏览功能可以直接下载这个pdf,但是通过我的webview打开的这个h5这个下载是失效的,这个问题怎么解决?是我们这边来解决,还是这个h5的他们来解决?4 回答944 阅读
为什么el-carousel的里面使用el-image的lazy属性会导致往右翻页的时候有几页空白,以及为什么el-carouselde的里面使用img的loading="lazy"属性不能够懒加载?
问题1:为什么el-carousel的里面使用el-image的lazy属性会导致往右翻页的时候有几页空白?问题2:以及为什么el-carouselde的里面使用img的loading="lazy"属性不能够懒加载?问题1:为什么el-carousel的里面使用el-image的lazy属性会导致往右翻页的时候有几页空白在线演示Element Plus Playground 1示例代码 {代码...} 尝...1 回答1.8k 阅读
Cookie的不安全性:
客户端服务器之间传递有被截获的可能(
Http是明文传输的,设置个钓鱼WIFI,钓鱼VPN不要太简单)本地存储方式存在什么问题(
IE在本地是存的文本txt文件,随便用程序读取写入修改不要太简单)cookie相比webStorage的独特优势(
兼容性,更重要的是cookie里的是会发送给后端的啊)当然上面都是扯淡:
使用Https,标注HttpOnly,设定有效期(后端检验),Cookie是很基础、成熟、安全的东西了。