【发布时间】:2015-08-28 10:13:40
【问题描述】:
如果 cookie 仅存储在本地客户端的浏览器上,并且从不通过 Internet 发送到服务器,它是否安全?
编辑 - 我正在制作一个加密文件服务,它的工作方式是用户有两个密码,一个用于登录他的帐户,另一个用于加密和解密他们的文件。登录后,他们会看到一个窗口,要求他们输入解密密码。此密码存储在用户浏览器上的 cookie 中。从服务器发送加密的文件列表,javascript 使用 cookie 对其进行解密(并在浏览器中加密上传的文件一次,然后 php 在服务器上对其进行加密)。这是一种安全的做事方式还是更好的方式?附言我确实使用 SSL,但我正在尝试增加安全性。
【问题讨论】:
-
A) 这可能应该在 security.stackexchange B) 保护什么? C)您如何建议设置它们以确保它们永远不会被发送到服务器(取决于用例,localstorage 可能更有意义)
-
您能否编辑您的帖子以更详细地解释您想了解的内容。我怀疑您关心的不是 cookie 的安全性,而是存储 cookie 后浏览器所有者的安全性。