立即注册  找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 99|回复: 9

Cookie 的有效性是谁说了算?

[复制链接]

Cookie 的有效性是谁说了算?

[复制链接]

29

主题

100

回帖

471

积分

中级会员

积分
471
小脑袋困掉了

29

主题

100

回帖

471

积分

中级会员

积分
471
2020-4-12 11:28:30 | 显示全部楼层 |阅读模式
本帖最后由 小脑袋困掉了 于 2020-4-12 11:30 编辑

服务器响应里设置 Cookie 有效期,一旦过了有效期,浏览器会把我 Cookie 删除。
但是如果被人提前把 cookie 复制保存出来,等过期后对服务器发起请求,是不是也是有效的呢?
一般服务器会做 cookie 有效性验证吗?

我亲自实践是看浏览器的cookie已经过期,但是用python发起请求仍然可以正确响应。
不懂求教,感谢大佬。
回复

使用道具 举报

11

主题

426

回帖

1013

积分

金牌会员

积分
1013
蓝浩

11

主题

426

回帖

1013

积分

金牌会员

积分
1013
2020-4-12 11:30:05 | 显示全部楼层
保存的cookis也是有时限的。过期后保存了无法使用。
回复

使用道具 举报

2

主题

125

回帖

294

积分

中级会员

积分
294
DROP

2

主题

125

回帖

294

积分

中级会员

积分
294
2020-4-12 11:30:50 | 显示全部楼层
本帖最后由 DROP 于 2020-4-12 11:32 编辑

看后端实现,只设置Cookie有效期后端不做校验的叫漏洞
回复

使用道具 举报

29

主题

100

回帖

471

积分

中级会员

积分
471
小脑袋困掉了 楼主

29

主题

100

回帖

471

积分

中级会员

积分
471
2020-4-12 11:32:44 | 显示全部楼层

蓝浩 发表于 2020-4-12 11:30

保存的cookis也是有时限的。过期后保存了无法使用。

这就奇怪了,我看到浏览器里cookie有效期是一个月,但是目前为止已经过去3个月了,用那条cookie发起请求还是可以获取正确的响应。
回复

使用道具 举报

29

主题

100

回帖

471

积分

中级会员

积分
471
小脑袋困掉了 楼主

29

主题

100

回帖

471

积分

中级会员

积分
471
2020-4-12 11:30:00 | 显示全部楼层

DROP 发表于 2020-4-12 11:30

看后端实现,只设置Cookie有效期后端不做校验的叫漏洞

嗯,我觉得也是,要不然太不安全了。
回复

使用道具 举报

4

主题

125

回帖

418

积分

中级会员

积分
418
tkn

4

主题

125

回帖

418

积分

中级会员

积分
418
2020-4-12 11:34:21 | 显示全部楼层
cookie 有没有效看服务端session,后端并不用自己检验,语言已经自动帮你检验过了,一般设置的时候,session 和cookie 的有效期是一致的,可能是你访问的时候刷新了session 的有效期,另外token 和session 是不一样的,token 服务端可能要自己检验
回复

使用道具 举报

62

主题

788

回帖

2772

积分

金牌会员

积分
2772
dvbhack

62

主题

788

回帖

2772

积分

金牌会员

积分
2772
2020-4-12 11:30:00 | 显示全部楼层
软件开发有个铁律:永远不要信任外部输入数据。Cookie就是外部输入数据的一种。只依赖Cookie来验证用户身份本身就是个大漏洞。
回复

使用道具 举报

29

主题

100

回帖

471

积分

中级会员

积分
471
小脑袋困掉了 楼主

29

主题

100

回帖

471

积分

中级会员

积分
471
2020-4-12 12:16:10 | 显示全部楼层

dvbhack 发表于 2020-4-12 12:18

软件开发有个铁律:永远不要信任外部输入数据。Cookie就是外部输入数据的一种。只依赖Cookie来验证用户身份 ...

大兄弟,那还能咋办啊?
输入用户名和密码不也是外部数据吗?
回复

使用道具 举报

1

主题

129

回帖

269

积分

中级会员

积分
269
365t

1

主题

129

回帖

269

积分

中级会员

积分
269
2020-4-12 12:18:55 | 显示全部楼层
Cookie驗證用戶其實只不過心裏安慰罷了~
回复

使用道具 举报

30

主题

5696

回帖

1万

积分

论坛元老

积分
12068
h20

30

主题

5696

回帖

1万

积分

论坛元老

积分
12068
2020-4-12 16:21:51 | 显示全部楼层
session是cookie的一种,不过session一般已经交由容器去负责处理了,基本不存在问题。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|HS2V主机综合交流论坛

GMT+8, 2024-12-23 13:18 , Processed in 0.024314 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表