【发布时间】:2014-03-09 09:22:33
【问题描述】:
我正在使用基于 cookie 的身份验证技术进行 Web 服务身份验证。 我使用客户端机器中的加密技术设置 cookie 值。 我在 Web 服务方法中使用该 cookie 值进行身份验证。 我的疑问是,是否可以通过任何浏览器中的任何第三方扩展工具编辑 cookie 值?
【问题讨论】:
【发布时间】:2014-03-09 09:22:33
【问题描述】:
是的,这确实很容易。一个例子是 Firefox 浏览器的“编辑 Cookies”插件 (https://addons.mozilla.org/de/firefox/addon/edit-cookies/)。
在您的场景中,您担心插件,因此跨站点脚本或跨站点烹饪保护机制都不起作用。这些保护机制仅适用于 Web 内容(例如 AJAX 调用)。但是因为插件/扩展对客户端环境有更多的访问权限,所以它们可以轻松地与 cookie 存储进行交互。
【讨论】: