不允许用户任意更改cookie



我想实现一个几乎没有数据库的站点。我想将用户的个人资料、偏好和许可级别存储在cookie中,而不是数据库中。我只想在数据库中存储用户名和密码。问题是,用户可以随意操作cookie,并获得不需要的权限。我该如何解决此安全问题?我想在饼干中加入一种nonce,但我不知道确切的细节。

Cookies存储在客户端上。因此,如果用户愿意,可以更改它们。

请参阅此链接:https://security.stackexchange.com/questions/140217/cant-a-user-change-his-session-information-to-impersonate-others

相关内容

  • 没有找到相关文章

最新更新