这是一个创建于 1817 天前的主题,其中的信息可能已经有所发展或是发生改变。
rt.
我的网站自动登录用的是 jwt,其中 AccessToken 放在 Cookies 里。我在想,软件读取了浏览器的 Cookies 数据,那么他是不是就可以浏览用户已登录的所有的网站数据了。
我的网站自动登录用的是 jwt,其中 AccessToken 放在 Cookies 里。我在想,软件读取了浏览器的 Cookies 数据,那么他是不是就可以浏览用户已登录的所有的网站数据了。
 |
1
rodrick 2021 年 1 月 25 日  1
如果以已经读取为前提的话应该是的,所以说后端不要相信前端的数据,多验证多更新
|
 |
2
ggabc 2021 年 1 月 25 日 via iPhone
是这样,所以以前有人用 ifream 偷 cookie
|
 |
3
xiaoyang7545 2021 年 1 月 25 日
@ggabc iframe 能偷 cookie? 不能直接获取被嵌套页面的 cookie 吧。
|
 |
4
fisher335 2021 年 1 月 25 日
这个就是这样的,你认证的只需要 cookies,如果能拿到这个值,放到请求里面,就能构造登录结果
|
 |
5
wanguorui123 2021 年 1 月 25 日
HttpOnly
|
 |
6
dingwen07 2021 年 1 月 25 日
我的网站服务端记录了 Token 的 IP 和 UA,不一致会要求重登
|
Select Language