V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
exc
V2EX  ›  问与答

能读取浏览器 Cookies,就能浏览用户网站数据了吧

  •  
  •   exc · 2021-01-25 01:21:45 +08:00 · 1378 次点击
    这是一个创建于 1398 天前的主题,其中的信息可能已经有所发展或是发生改变。
    rt.

    我的网站自动登录用的是 jwt,其中 AccessToken 放在 Cookies 里。我在想,软件读取了浏览器的 Cookies 数据,那么他是不是就可以浏览用户已登录的所有的网站数据了。
    6 条回复    2021-01-25 11:28:30 +08:00
    rodrick
        1
    rodrick  
       2021-01-25 08:18:39 +08:00   ❤️ 1
    如果以已经读取为前提的话应该是的,所以说后端不要相信前端的数据,多验证多更新
    ggabc
        2
    ggabc  
       2021-01-25 08:40:21 +08:00 via iPhone
    是这样,所以以前有人用 ifream 偷 cookie
    xiaoyang7545
        3
    xiaoyang7545  
       2021-01-25 09:49:26 +08:00
    @ggabc iframe 能偷 cookie? 不能直接获取被嵌套页面的 cookie 吧。
    fisher335
        4
    fisher335  
       2021-01-25 10:44:10 +08:00
    这个就是这样的,你认证的只需要 cookies,如果能拿到这个值,放到请求里面,就能构造登录结果
    wanguorui123
        5
    wanguorui123  
       2021-01-25 11:19:32 +08:00
    HttpOnly
    dingwen07
        6
    dingwen07  
       2021-01-25 11:28:30 +08:00
    我的网站服务端记录了 Token 的 IP 和 UA,不一致会要求重登
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2815 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 13:30 · PVG 21:30 · LAX 05:30 · JFK 08:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.