全球主机交流论坛

标题: Cookie 的有效性是谁说了算？ [打印本页]

作者: 小脑袋困掉了 时间: 2020-4-12 11:28
标题: Cookie 的有效性是谁说了算？
本帖最后由小脑袋困掉了于 2020-4-12 11:30 编辑

服务器响应里设置 Cookie 有效期，一旦过了有效期，浏览器会把我 Cookie 删除。
但是如果被人提前把 cookie 复制保存出来，等过期后对服务器发起请求，是不是也是有效的呢？
一般服务器会做 cookie 有效性验证吗？

我亲自实践是看浏览器的cookie已经过期，但是用python发起请求仍然可以正确响应。
不懂求教，感谢大佬。

作者: 蓝浩 时间: 2020-4-12 11:30
保存的cookis也是有时限的。过期后保存了无法使用。

作者: DROP 时间: 2020-4-12 11:30
本帖最后由 DROP 于 2020-4-12 11:32 编辑

看后端实现，只设置Cookie有效期后端不做校验的叫漏洞

作者: 小脑袋困掉了 时间: 2020-4-12 11:32

蓝浩发表于 2020-4-12 11:30
保存的cookis也是有时限的。过期后保存了无法使用。

这就奇怪了，我看到浏览器里cookie有效期是一个月，但是目前为止已经过去3个月了，用那条cookie发起请求还是可以获取正确的响应。

作者: 小脑袋困掉了 时间: 2020-4-12 11:34

DROP 发表于 2020-4-12 11:30
看后端实现，只设置Cookie有效期后端不做校验的叫漏洞

嗯，我觉得也是，要不然太不安全了。

作者: tkn 时间: 2020-4-12 12:16
cookie 有没有效看服务端session，后端并不用自己检验，语言已经自动帮你检验过了，一般设置的时候，session 和cookie 的有效期是一致的，可能是你访问的时候刷新了session 的有效期，另外token 和session 是不一样的，token 服务端可能要自己检验

作者: dvbhack 时间: 2020-4-12 12:18
软件开发有个铁律：永远不要信任外部输入数据。Cookie就是外部输入数据的一种。只依赖Cookie来验证用户身份本身就是个大漏洞。

作者: 小脑袋困掉了 时间: 2020-4-12 16:21

dvbhack 发表于 2020-4-12 12:18
软件开发有个铁律：永远不要信任外部输入数据。Cookie就是外部输入数据的一种。只依赖Cookie来验证用户身份 ...

大兄弟，那还能咋办啊？
输入用户名和密码不也是外部数据吗？

作者: 365t 时间: 2020-4-12 16:41
Cookie驗證用戶其實只不過心裏安慰罷了～

作者: h20 时间: 2020-4-12 16:43
提示: 作者被禁止或删除内容自动屏蔽

作者: 大师兄 时间: 2020-4-12 16:45
我比较好奇楼主的头像

作者: dvbhack 时间: 2020-4-12 17:20

小脑袋困掉了发表于 2020-4-12 16:21
大兄弟，那还能咋办啊？
输入用户名和密码不也是外部数据吗？

不信任的意思是要对外部输入数据做有效性校验。

XSS、SQL 注入、CSRF 攻击了解一下？Cookie 也是很有效的攻击途径。

作者: papa18 时间: 2020-4-12 17:47
session说了算

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)