这是一个创建于 1380 天前的主题,其中的信息可能已经有所发展或是发生改变。
rt.
我的网站自动登录用的是 jwt,其中 AccessToken 放在 Cookies 里。我在想,软件读取了浏览器的 Cookies 数据,那么他是不是就可以浏览用户已登录的所有的网站数据了。
我的网站自动登录用的是 jwt,其中 AccessToken 放在 Cookies 里。我在想,软件读取了浏览器的 Cookies 数据,那么他是不是就可以浏览用户已登录的所有的网站数据了。
 |
1
rodrick 2021-01-25 08:18:39 +08:00  1
如果以已经读取为前提的话应该是的,所以说后端不要相信前端的数据,多验证多更新
|
 |
2
ggabc 2021-01-25 08:40:21 +08:00 via iPhone
是这样,所以以前有人用 ifream 偷 cookie
|
 |
3
xiaoyang7545 2021-01-25 09:49:26 +08:00
@ggabc iframe 能偷 cookie? 不能直接获取被嵌套页面的 cookie 吧。
|
 |
4
fisher335 2021-01-25 10:44:10 +08:00
这个就是这样的,你认证的只需要 cookies,如果能拿到这个值,放到请求里面,就能构造登录结果
|
 |
5
wanguorui123 2021-01-25 11:19:32 +08:00
HttpOnly
|
 |
6
dingwen07 2021-01-25 11:28:30 +08:00
我的网站服务端记录了 Token 的 IP 和 UA,不一致会要求重登
|
Select Language