我想这不是第一次有人问这个问题了。但我无法得到一个明确的答案。
有可能"破解"吗?一块饼干吗?例如,如果有人登录了,我创建一个"用户id"cookie,其值为"usr01301",这是对该用户的引用。如果该用户正在加载网页,网站将检查cookie。如果"用户id"可用,则用户将使用连接到该用户id的帐户登录。
但是,有人能够手动编写这个cookie吗?或者换一个ID?可以使用此cookie登录。
YES
会话劫持是一个非常真实的事情,并且很容易在任何没有良好安全系统的网站上利用。在cookie中使用用户名是一个非常非常糟糕的主意.
有浏览器插件使编辑cookie变得容易,但你甚至可以使用许多浏览器附带的开发控制台来完成。
对于这个问题,你根本不需要浏览器。wget可以从命令行使用cookie执行http请求。
可预测的cookie是一个坏主意。有了它,任何人都可以预测该网站上存在的任何用户的cookie。手工编辑也是可能的,网上有很多工具可以自动编辑。https://bugarena.com/single/Y7A7WOZ1520