web安全问题 cookie
1.cookies只能设置过期 不能删除
<script>
now.toGMTString() => 事件可以用来设置cookie
document.cookie("aaa=1,expires=Sun, 07 May 2017 xxxxx")
</script>
2.Cookies-登录用户凭证
- 用户ID
- 用户ID + 签名
3.xss和cookies
- xss可能偷取cookies
- http-only的cookie不会被偷
4.cookies和csrf关系
- csrf利用用户cookie
- 攻击站点无法读写Cookies
- 最好阻止第三方使用Cookies samesite
5.cookies安全案例
- cms系统
- cms使用username作为唯一用户标识
- cms文章作者暴露了username
- 可以使用任意username登录后台
- 某论坛使用asp bbs
- 使用用户ID作为用户标识
- 可伪造任何登录
7.cookies安全策略
- 签名防止篡改
- 私有变换(加密)
- http-only (防止xss)
- secure