能读取浏览器 Cookies,就能浏览用户网站数据了吧

2021-01-25 01:21:45 +08:00
 exc
rt.

我的网站自动登录用的是 jwt,其中 AccessToken 放在 Cookies 里。我在想,软件读取了浏览器的 Cookies 数据,那么他是不是就可以浏览用户已登录的所有的网站数据了。
1403 次点击
所在节点    问与答
6 条回复
rodrick
2021-01-25 08:18:39 +08:00
如果以已经读取为前提的话应该是的,所以说后端不要相信前端的数据,多验证多更新
ggabc
2021-01-25 08:40:21 +08:00
是这样,所以以前有人用 ifream 偷 cookie
xiaoyang7545
2021-01-25 09:49:26 +08:00
@ggabc iframe 能偷 cookie? 不能直接获取被嵌套页面的 cookie 吧。
fisher335
2021-01-25 10:44:10 +08:00
这个就是这样的,你认证的只需要 cookies,如果能拿到这个值,放到请求里面,就能构造登录结果
wanguorui123
2021-01-25 11:19:32 +08:00
HttpOnly
dingwen07
2021-01-25 11:28:30 +08:00
我的网站服务端记录了 Token 的 IP 和 UA,不一致会要求重登

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/747995

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX