rt.
我的网站自动登录用的是 jwt,其中 AccessToken 放在 Cookies 里。我在想,软件读取了浏览器的 Cookies 数据,那么他是不是就可以浏览用户已登录的所有的网站数据了。
我的网站自动登录用的是 jwt,其中 AccessToken 放在 Cookies 里。我在想,软件读取了浏览器的 Cookies 数据,那么他是不是就可以浏览用户已登录的所有的网站数据了。
This topic created in 1953 days ago, the information mentioned may be changed or developed.
 |
1
rodrick Jan 25, 2021  1
如果以已经读取为前提的话应该是的,所以说后端不要相信前端的数据,多验证多更新
|
 |
2
ggabc Jan 25, 2021 via iPhone
是这样,所以以前有人用 ifream 偷 cookie
|
 |
3
xiaoyang7545 Jan 25, 2021
@ggabc iframe 能偷 cookie? 不能直接获取被嵌套页面的 cookie 吧。
|
 |
4
fisher335 Jan 25, 2021
这个就是这样的,你认证的只需要 cookies,如果能拿到这个值,放到请求里面,就能构造登录结果
|
 |
5
wanguorui123 Jan 25, 2021
HttpOnly
|
 |
6
dingwen07 Jan 25, 2021
我的网站服务端记录了 Token 的 IP 和 UA,不一致会要求重登
|
Select Language