防止 cookie 欺骗
Preventing cookie spoofing
我有一个已加密的 JWT,想存储在 HttpOnly 安全 cookie 中并通过 SSL 发送。但是由于我在第一次访问我的网站时没有设置 cookie,在我创建 cookie 之前,如何阻止某人创建与我要创建的 cookie 具有相同名称和值的 cookie?基本上,如果他们在登录前欺骗 cookie,那是我实际创建 cookie 的时间怎么办?
似乎我必须确保我的 cookie 总是首先以某种方式创建以防止这种情况发生,因为 Httponly 会阻止它直到我创建我的 cookie 才会生效,对吧? prevent/circumvent 这种情况我缺少什么吗?
如果有人可以欺骗 JWT,这意味着您用于签署这些令牌的秘密已被泄露。没有解决此问题的解决方案,只能更改您的密钥。
否则,如果 cookie 存在无法验证的数据,那么您将拒绝该 cookie(将其删除)并且不继续请求(例如 return 401 状态)。
我有一个已加密的 JWT,想存储在 HttpOnly 安全 cookie 中并通过 SSL 发送。但是由于我在第一次访问我的网站时没有设置 cookie,在我创建 cookie 之前,如何阻止某人创建与我要创建的 cookie 具有相同名称和值的 cookie?基本上,如果他们在登录前欺骗 cookie,那是我实际创建 cookie 的时间怎么办?
似乎我必须确保我的 cookie 总是首先以某种方式创建以防止这种情况发生,因为 Httponly 会阻止它直到我创建我的 cookie 才会生效,对吧? prevent/circumvent 这种情况我缺少什么吗?
如果有人可以欺骗 JWT,这意味着您用于签署这些令牌的秘密已被泄露。没有解决此问题的解决方案,只能更改您的密钥。
否则,如果 cookie 存在无法验证的数据,那么您将拒绝该 cookie(将其删除)并且不继续请求(例如 return 401 状态)。