【发布时间】:2013-11-04 10:27:17
【问题描述】:
当我使用秘密 cookie 函数来设置和获取 cookie 时,http 客户端获取并发送包含 cookie 的字符串。
我知道 cookie 是安全的:客户端无法在不知道密钥的情况下更改 cookie 的内容。
但是 cookie 是秘密的吗?客户端可以在没有key的情况下从字符串中提取cookie吗?
【问题讨论】:
【发布时间】:2013-11-04 10:27:17
【问题描述】:
cookie 已签名但未加密,因此客户端可以轻松查看它们包含的数据(它只是 base64 编码的)。如果您需要对 cookie 的内容保密,则必须单独对其进行加密。
【讨论】:
-
任何加密选项?
-
目前没有;你需要使用一个单独的库(我过去使用过 keyczar 并且会推荐它)