首頁>Security>source

我在後端系統中遇到限製,後端系統只能通過Set-Cookie標頭設置一个cookie,前端用它来进行AJAX呼叫以記錄使用者。身份驗證系統需要多个cookie才能 不只是設置那个。

如果假設無法解決此限製:作為對登錄請求的JSON响應的一部分,即作為文字字元串發送身份驗證cookie是否安全? 然後,前端JavaScript將获取此資料並將所需的cookie設置到使用者瀏覽器中. AJAX呼叫和进行呼叫的頁面都是HTTPS.

最新回復
  • 2019-12-5
    1 #

    這比設置cookie的常規方法安全性低,因為你無法設置 HttpOnly標志.這意味着可以通過Javascript讀取cookie,如果網站存在XSS漏洞,這尤其是一个問题.在這種情况下,攻击者可以直接讀取您的cookie並接管您的会话。

  • encryption:我可以安全地让使用者登錄到我的本地應用程式並使用密碼作為解密密钥吗?
  • web application:CSRF攻击的快速解決方案是什麼?