网络安全-怎样加强cookie安全?

网络安全-怎样加强cookie安全?

清晨说ぺ晚安 发布于 2017-03-26 字数 251 浏览 849 回复 3

很多网站都是通过cookie来存储用户信息,进行身份验证的,这种情况下,有那些需要防范的?有那些方法能加强cookie安全?
虽然一般都对cookie进行了加密,但用户的cookie还是挺容易被别人盗取的,有什么方法能防范用户的cookie被盗或者被使用来盗取账号信息?

如果你对这篇文章有疑问,欢迎到本站 社区 发帖提问或使用手Q扫描下方二维码加群参与讨论,获取更多帮助。

扫码加入群聊

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(3

泛泛之交 2017-08-03 3 楼

可以设置cookie的httponly属性。

httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题

httponly被设置后,在浏览器的document对象中就看不到cookie了,而浏览器在浏览的时候不受任何影响。httponly在IE6+,Firefox较新版本都得到了比较好的支持,并且在如Hotmail等应用程序里都有广泛的使用,并且已经是取得了比较好的安全效果。
当然,httponly是用来解决浏览器里javascript访问cookie的问题的,对其他情况,需要保证两个重要点:

在Cookie中保存一些不重要的数据
对数据进行加密,加密的方法很多,比较简单的有:Base64,Md5,Sha DES,RC2等.

瑾兮 2017-04-15 2 楼

cookie的httponly比较好,此外,还需要防止CSRF(提交一个操作请求的时候没有验证是否是用户的真实意图),如果有这种漏洞,即使不盗取用户cookie,一样可以攻击用户。绝大部分程序员都没有这方面的意识。

泛泛之交 2017-04-01 1 楼

在COOKIE中存入IP信息,如果请求IP和COOKIE里的不一样,强行清除COOKIE。好处是盗走了也没用,坏处是如果用户用ADSL,断线重连后IP会变。