一沛豌、對保存到cookie里面的敏感信息必須加密
二、設(shè)置HttpOnly為true
1妒貌、該屬性值的作用就是防止Cookie值被頁面腳本讀取泰偿。
2熄守、但是設(shè)置HttpOnly屬性,HttpOnly屬性只是增加了攻擊者的難度耗跛,Cookie盜竊的威脅并沒有徹底消除裕照,因?yàn)閏ookie還是有可能傳遞的過程中被監(jiān)聽捕獲后信息泄漏。
三调塌、設(shè)置Secure為true
1晋南、給Cookie設(shè)置該屬性時,只有在https協(xié)議下訪問的時候羔砾,瀏覽器才會發(fā)送該Cookie负间。
2、把cookie設(shè)置為secure姜凄,只保證cookie與WEB服務(wù)器之間的數(shù)據(jù)傳輸過程加密政溃,而保存在本地的cookie文件并不加密。如果想讓本地cookie也加密态秧,得自己加密數(shù)據(jù)董虱。
四、給Cookie設(shè)置有效期
1申鱼、如果不設(shè)置有效期空扎,萬一用戶獲取到用戶的Cookie后,就可以一直使用用戶身份登錄润讥。
2、在設(shè)置Cookie認(rèn)證的時候盘寡,需要加入兩個時間楚殿,一個是“即使一直在活動,也要失效”的時間,一個是“長時間不活動的失效時間”脆粥,并在Web應(yīng)用中砌溺,首先判斷兩個時間是否已超時,再執(zhí)行其他操作变隔。
