Cookie 的有效性是谁说了算？

小脑袋困掉了 · 发表于 2020-4-12 11:28:30

本帖最后由小脑袋困掉了于 2020-4-12 11:30 编辑

服务器响应里设置 Cookie 有效期，一旦过了有效期，浏览器会把我 Cookie 删除。
但是如果被人提前把 cookie 复制保存出来，等过期后对服务器发起请求，是不是也是有效的呢？
一般服务器会做 cookie 有效性验证吗？

我亲自实践是看浏览器的cookie已经过期，但是用python发起请求仍然可以正确响应。
不懂求教，感谢大佬。

蓝浩 · 发表于 2020-4-12 11:30:05

保存的cookis也是有时限的。过期后保存了无法使用。

DROP · 发表于 2020-4-12 11:30:50

本帖最后由 DROP 于 2020-4-12 11:32 编辑

看后端实现，只设置Cookie有效期后端不做校验的叫漏洞

小脑袋困掉了 · 发表于 2020-4-12 11:32:44

蓝浩发表于 2020-4-12 11:30
保存的cookis也是有时限的。过期后保存了无法使用。

这就奇怪了，我看到浏览器里cookie有效期是一个月，但是目前为止已经过去3个月了，用那条cookie发起请求还是可以获取正确的响应。

小脑袋困掉了 · 发表于 2020-4-12 11:34:21

DROP 发表于 2020-4-12 11:30
看后端实现，只设置Cookie有效期后端不做校验的叫漏洞

嗯，我觉得也是，要不然太不安全了。

tkn · 发表于 2020-4-12 12:16:10

cookie 有没有效看服务端session，后端并不用自己检验，语言已经自动帮你检验过了，一般设置的时候，session 和cookie 的有效期是一致的，可能是你访问的时候刷新了session 的有效期，另外token 和session 是不一样的，token 服务端可能要自己检验

dvbhack · 发表于 2020-4-12 12:18:55

软件开发有个铁律：永远不要信任外部输入数据。Cookie就是外部输入数据的一种。只依赖Cookie来验证用户身份本身就是个大漏洞。

小脑袋困掉了 · 发表于 2020-4-12 16:21:51

dvbhack 发表于 2020-4-12 12:18
软件开发有个铁律：永远不要信任外部输入数据。Cookie就是外部输入数据的一种。只依赖Cookie来验证用户身份 ...

大兄弟，那还能咋办啊？
输入用户名和密码不也是外部数据吗？

365t · 发表于 2020-4-12 16:41:10

Cookie驗證用戶其實只不過心裏安慰罷了～

h20 · 发表于 2020-4-12 16:43:17

提示: 作者被禁止或删除内容自动屏蔽

		自动登录	找回密码
密码			注册

h20 h20 当前离线积分 19897	10^# 发表于 2020-4-12 16:43:17 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
h20 h20 当前离线积分 19897
	回复支持反对举报

[Windows VPS] Cookie 的有效性是谁说了算？

浏览过的版块