如何防止COOKIE詐騙？此方法適用于用戶級(jí)別由cookie記錄并且系統(tǒng)源代碼是開放的系統(tǒng)，例如loveyuki的blog。系統(tǒng)用戶分為成員、管理員和管理員三個(gè)級(jí)別，并以cookie的形式記錄在客戶端

如何防止COOKIE詐騙？

此方法適用于用戶級(jí)別由cookie記錄并且系統(tǒng)源代碼是開放的系統(tǒng)，例如loveyuki的blog。系統(tǒng)用戶分為成員、管理員和管理員三個(gè)級(jí)別，并以cookie的形式記錄在客戶端，因?yàn)橄到y(tǒng)是開放源代碼，用戶很容易知道系統(tǒng)的權(quán)限設(shè)置方法，并且存在通過修改客戶端cookie值來改變用戶級(jí)別的危險(xiǎn)。。當(dāng)權(quán)限寫入cookie時(shí)，權(quán)限的別名被寫入

當(dāng)coolie被讀取時(shí)，別名被轉(zhuǎn)換成權(quán)限的原始名稱

這樣，系統(tǒng)仍然使用member、admin和supadmin來判斷權(quán)限操作的級(jí)別

，但是對(duì)于客戶端，它只能知道自己的級(jí)別別名，而不能知道其他級(jí)別別名是什么

，所以它不能通過修改cookie來欺騙

，理論上講，它可以模仿用戶來獲取cookie。根據(jù)以下具體分析：

此“身份密碼”由服務(wù)器生成并放置在客戶端瀏覽器的cookie中。服務(wù)器將有一個(gè)與之對(duì)應(yīng)的會(huì)話，會(huì)話ID也存儲(chǔ)在cookie中。

如上所述，服務(wù)器的會(huì)話ID存儲(chǔ)在客戶端的cookie中，以便其他用戶在cookie中獲得會(huì)話ID后，可以模擬原始用戶啟動(dòng)請(qǐng)求。

這似乎不合理

！但是，這是cookies和會(huì)話的機(jī)制。我們說過當(dāng)cookie被禁用后，session可能無法正常工作，但是我們可以通過get將sessionid傳遞給服務(wù)器，因此如果sessionid以明文形式傳輸，則存在安全風(fēng)險(xiǎn)。

由于cookie存儲(chǔ)在客戶機(jī)中并且不安全，因此當(dāng)我們將用戶數(shù)據(jù)存儲(chǔ)在cookie中時(shí)，我們將對(duì)其進(jìn)行加密。例如，它將驗(yàn)證用戶的IP、終端身份等，即使其他用戶偽造Cookie，也無法驗(yàn)證。