如何相信在后续请求中发送回服务器的 cookie 没有过期?
How to trust that a cookie sent back to the server in a subsequent request has not expired?
过期是cookie的一个属性。后续请求不会将属性发送回服务器。行为良好的浏览器不会发送过期的 cookie,但恶意浏览器可能会忽略过期并发送 cookie。服务器如何判断浏览器是否真的遵守它最初作为 cookie 属性发送的过期日期?
是否像将过期日期存储在 cookie 中一样简单?然后,如果 cookie 已签名,浏览器就可以信任该值并对照自己的时钟进行检查。
从来没有。相信。用户。输入。
USER,请考虑您的应用程序之外的任何内容。
https://www.owasp.org/index.php/Don't_trust_user_input
对于您的特定情况,是的,您可以向 cookie 的内容添加时间戳并对该内容签名,然后在服务器端对其进行检查。
例如使用https://secure.php.net/manual/en/function.openssl-sign.php
过期是cookie的一个属性。后续请求不会将属性发送回服务器。行为良好的浏览器不会发送过期的 cookie,但恶意浏览器可能会忽略过期并发送 cookie。服务器如何判断浏览器是否真的遵守它最初作为 cookie 属性发送的过期日期?
是否像将过期日期存储在 cookie 中一样简单?然后,如果 cookie 已签名,浏览器就可以信任该值并对照自己的时钟进行检查。
从来没有。相信。用户。输入。
USER,请考虑您的应用程序之外的任何内容。
https://www.owasp.org/index.php/Don't_trust_user_input
对于您的特定情况,是的,您可以向 cookie 的内容添加时间戳并对该内容签名,然后在服务器端对其进行检查。
例如使用https://secure.php.net/manual/en/function.openssl-sign.php