假设我拿到了别的用户的淘宝网站的cookie,我放到自己的http请求里,我就可以冒充这个用户吗?
2022-09-18
87 阅读
如果能拿到别人的cookie是可以冒充别人的。
首先要清楚,cookie存储于客户端,session存储于服务器端,而http请求是无状态的。
因此服务器要识别某人通常都是用session完成,而session是依赖于cookie的。
浏览器在每次发送请求时,会带上cookie 而cookie会自动带上session id,这样服务器就知道这个请求是基于那个session的,也就知道了是谁。
然而有些特殊情况,比如客户端禁用了cookie,如果要保持用户登录的状态可以在发送请求时,在请求的参数里带上session id,服务器也是可以知道用户是谁,但现在讨论的是有cookie的情况,顺带说一下这个问题。
所以在cookie冒充这个问题上服务器的防范措施比较有限,比如当用户重新登录,将之前的session作废,同一用户只能有一个session。
保证用户账户同一时间只能有一个设备登录。
另外,某些关键性的问题上用户要输入登录密码,或者使用手机验证码,以验证身份。
比如修改密码,支付时。
防范cookie冒充,更多还是需要用户多注意网络安全,比如安装防病毒软件,定时查杀病毒等等。
前面看到有的说验证IP,这个基本是行不通的,现在多数APP或浏览器因为用户体验问题都需要保证用户长时间登录,而网络的不稳定会导致设备时常断网,重新连接网络后IP就会改变。
从而会导致用户需要重新登录(这句是后加的)。
所以验证IP是行不通的。
还有就是有人说cookie带tooken也是行不通的,都能拿到你的cookie,凭什么就拿不到你的token?
