现在还有用 cookies 吗

2020-07-22 12:14:49 +08:00
 pabno

接手公司的老项目,很多安全和身份相关的功能都是用 cookies 实现的。这玩意儿感觉既不好测试又不安全,以往都是使用 token 来做的身份安全相关

不知道现在在 web 端主流是用 cookies 还是 token ?

11382 次点击
所在节点    程序员
104 条回复
ChanKc
2020-07-22 14:24:59 +08:00
@also24 可以,受教了
所以就是同样受害,影响范围不一样是吧
yhxx
2020-07-22 14:28:28 +08:00
cookie 和 token 有啥关系,没太懂
also24
2020-07-22 14:29:27 +08:00
@ChanKc #41
恩,并不是防止攻击,只是控制损失,其实我觉得这也算是使用 Cookie 来存储凭据的一部分优势。

顺便说一下:
我并不是拥护 Cookie,Cookie 机制也有很多劣势(例如无脑带 Cookie 导致无关请求的体积增大);
只是说在 『限制 JS 读取凭据』这件事上,Cookie 有一定的优势。
butterf1y
2020-07-22 14:29:30 +08:00
token 不就是个约定俗成的名吗?和 cookie 有关系?
Felldeadbird
2020-07-22 14:32:30 +08:00
cookie 哪里不安全了。token 被人知道了,在有效期内,你没做唯一客户端校验,不一样风险吗?
cheeto
2020-07-22 14:33:02 +08:00
🎣?
littleylv
2020-07-22 14:38:48 +08:00
楼主确定不是来🎣的?
wangritian
2020-07-22 14:46:01 +08:00
楼主看一眼 http 的报文,uri/body/header/cookie 这些东西只是划分内容的标记,保证安全需要的是策略和算法
想起面试时经常问 get/post 有什么区别,很多小伙伴答 post 更安全
limuyan44
2020-07-22 14:52:26 +08:00
这不是个技术论坛吗?你们还能讨论用 cookie 还是 token 这么火热的。
misaka19000
2020-07-22 14:52:43 +08:00
V 站这种提奇葩问题的奇葩楼主越来越多了,已经让人搞不懂是为了钓鱼还是真的太菜了
ArianX
2020-07-22 14:56:14 +08:00
你是说把 token 放在 header 里和放在 cookie 里的区别?
love
2020-07-22 15:03:23 +08:00
@ochatokori 存在这种本地存储才不安全
vone
2020-07-22 16:48:33 +08:00
前端程序员果然垃圾
murmur
2020-07-22 16:50:17 +08:00
@wangritian post 的却略微安全一点,可以避免用户把整个链接复制给别人的时候带上一些奇奇怪怪的东西
daimubai
2020-07-22 16:51:47 +08:00
楼主想说的是将 token 放在 Header 中吧,我们之前的前端主要是 App,采用的这种方式。

如果是 B/S 的话,通常做法是把 token 放在 cookies 中吧
daimubai
2020-07-22 16:51:53 +08:00
楼主想说的是将 token 放在 Header 中吧,我们之前的前端主要是原生 App,采用的这种方式。

如果是 B/S 的话,通常做法是把 token 放在 cookies 中吧
Erroad
2020-07-22 16:51:55 +08:00
你给我解释解释什么叫做 token ?
我问你什么叫做 token?
madNeal
2020-07-22 16:55:28 +08:00
@also24 httponly 的本质是限制 js 无法操作 cookie
also24
2020-07-22 17:01:26 +08:00
@madNeal #58
对啊,这不就是我要表达的意思么?

放进 localStorage 的话,XSS 脚本就能获取到(然后发送出去);
放加了 HttpOnly 的 Cookie 里面,XSS 脚本获取不到了,于是就不会有(能发出去)这个问题。
takemeaway
2020-07-22 17:02:05 +08:00
本来看到这种问题我就很无语,后来看到一部分回答,更无语。。。

麻烦大家提高一点专业素质,真当码农是农民呢。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/692155

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX