令牌和 cookie 会话 ID 安全
Token and cookie session id security
我想我理解令牌和会话 ID 之间的区别。
但在我看来它有一个重大的安全问题所以我可能误解了一些东西:
如果有人窃取了我的令牌或我的会话ID,那么他可以冒充我,对吧?一些 XSS 攻击,或者我朋友电脑上的一些 F12 足以看到信息,对吧?
是的。这就是为什么您不会让您的设备无人看管以维护 F12 部分。
XSS 无法窃取 httpOnly cookie。
我已经在以下两个答案中涵盖了这些内容。
我想我理解令牌和会话 ID 之间的区别。
但在我看来它有一个重大的安全问题所以我可能误解了一些东西:
如果有人窃取了我的令牌或我的会话ID,那么他可以冒充我,对吧?一些 XSS 攻击,或者我朋友电脑上的一些 F12 足以看到信息,对吧?
是的。这就是为什么您不会让您的设备无人看管以维护 F12 部分。
XSS 无法窃取 httpOnly cookie。
我已经在以下两个答案中涵盖了这些内容。