設(shè)置signed cookie�,考慮的因素?zé)o非是安全性問題。
我們知道���,發(fā)送 HTTP 請求����,除了瀏覽器����,還有各種代理。
即使設(shè)置了httpOnly�,這一限制只對瀏覽器有效,我們同樣可以把cookie拿過來更改���,利用其他工具發(fā)送請求。
設(shè)置signed cookie后��,signed cookie的生成和校驗(yàn)都是在服務(wù)器端處理,對客戶端不可見���,因此���,也就達(dá)到防止篡改cookie的目的。
這樣就安全了嗎��?再考慮這樣一個(gè)問題�,cookie是明文傳輸?shù)模?code>signed cookie���,如果cookie的值是固定的����,生成的signed cookie就是一致的���,下次請求時(shí)���,把這個(gè)signed cookie帶上,就可以請求此cookie對應(yīng)的數(shù)據(jù)了�����。所以,最安全的做法:還是cookie中不放敏感數(shù)據(jù)�����。
Koa2 中��,cookie功能使用這個(gè)模塊:cookie ���,這個(gè)模塊使用:keygrip 做數(shù)據(jù)的簽名和驗(yàn)證����。
至于什么時(shí)候使用signed cookie����,什么時(shí)候不用,看你的安全性的要求了���。
