我有一个已加密的JWT,并且想存储在HttpOnly安全cookie中并通过SSL发送。但是,由于我第一次访问网站时没有设置cookie,那么如何阻止某人创建与我要创建的cookie具有相同名称和值的cookie,然后再创建cookie?基本上,如果他们在登录之前欺骗了cookie,那是在我实际创建cookie的时候怎么办?
看来我必须确保总是总是以某种方式创建我的cookie,以防止这种情况发生,因为Httponly会阻止它,直到我创建我的cookie时它才生效,对吗?有什么我想防止/规避这种情况的东西吗?
如果有人可以欺骗JWT,则意味着您用来签名这些令牌的秘密已经被泄露。除了解决您的秘密外,没有其他解决方案。
否则,如果存在一个cookie,其中包含无法验证的数据,那么您将拒绝该cookie(将其删除),并且不继续进行请求(例如,返回401状态)。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句