Cookie 的有效性是谁说了算？

小脑袋困掉了

本帖最后由 小脑袋困掉了 于 2020-4-12 11:30 编辑

服务器响应里设置 Cookie 有效期，一旦过了有效期，浏览器会把我 Cookie 删除。
但是如果被人提前把 cookie 复制保存出来，等过期后对服务器发起请求，是不是也是有效的呢？
一般服务器会做 cookie 有效性验证吗？

我亲自实践是看浏览器的cookie已经过期，但是用python发起请求仍然可以正确响应。
不懂求教，感谢大佬。

蓝浩

保存的cookis也是有时限的。过期后保存了无法使用。

DROP

本帖最后由 DROP 于 2020-4-12 11:32 编辑

看后端实现，只设置Cookie有效期后端不做校验的叫漏洞

小脑袋困掉了

蓝浩 发表于 2020-4-12 11:30

保存的cookis也是有时限的。过期后保存了无法使用。
这就奇怪了，我看到浏览器里cookie有效期是一个月，但是目前为止已经过去3个月了，用那条cookie发起请求还是可以获取正确的响应。

小脑袋困掉了

DROP 发表于 2020-4-12 11:30

看后端实现，只设置Cookie有效期后端不做校验的叫漏洞
嗯，我觉得也是，要不然太不安全了。

tkn

cookie 有没有效看服务端session，后端并不用自己检验，语言已经自动帮你检验过了，一般设置的时候，session 和cookie 的有效期是一致的，可能是你访问的时候刷新了session 的有效期，另外token 和session 是不一样的，token 服务端可能要自己检验

dvbhack

软件开发有个铁律：永远不要信任外部输入数据。Cookie就是外部输入数据的一种。只依赖Cookie来验证用户身份本身就是个大漏洞。

小脑袋困掉了

dvbhack 发表于 2020-4-12 12:18

软件开发有个铁律：永远不要信任外部输入数据。Cookie就是外部输入数据的一种。只依赖Cookie来验证用户身份 ...
大兄弟，那还能咋办啊？
输入用户名和密码不也是外部数据吗？

365t

Cookie驗證用戶其實只不過心裏安慰罷了～

h20

session是cookie的一种，不过session一般已经交由容器去负责处理了，基本不存在问题。