有什么办法能让 Cookie 被人偷了也没法用？

httponly 不就完了，js 偷不到

@Telegram 这是防 Cookie 被偷吧？但如何让 Cookie 被偷了也没用呢，我也很想知道

httponly

@Telegram 学习了。

首先肯定是 httponly 防止 js 偷走 cookie，上 https 防网络层面偷走 cookie。如果是特别敏感的场景应该验证 cookie 产生的 ip 和当前 ip 是否一样，或者 useragent，如果不一样的话 要求一次二次验证，或者直接重新登陆。

把 IP 和时间值也作为 cookie 的一部分。

@letitbesqzr 谢谢，受教了！

@Livid 把时间值作为 cookie 的一部分如何操作和验证？

@13m 可以通过写代码来完成这个操作；还可以写测试用例或者手工测试来验证。

抱歉我审题不仔细了，以为是无脑问的。把时间值作为 Cookie 的生成要素之一好想不太可行，如果要定期让 Cookie 失效，那正常用户的体验也会有所影响。

@gDD 很多都是把时间作为 cookie 的验证要素，如果是正常用户 cookie 正常更新就完了，对正常用户的体验一般不会有影响。

@bukip "把时间作为 cookie 的验证要素" 这个时间指的是什么时间？ cookie 的过期时间吗？

@Livid #6 ip 我觉得不妥，我手机访问，换个基站 ip 可能就变了

两阶段认证

不考虑 IP 重复，加个 IP 校验就可以了，起码这个模拟不来。
但建议还是 httponly 从上层防止。

@Telegram 手机似乎换基站 ip 不变的

之前出了省 ip 好像还是原本的

基站不负责 ip 分配，一般不变。切到 wifi 倒是可能变化 ip。如果是运营商 wifi 可能不变。

如果被 XSS 攻击了，做不到 Cookie 被偷了也没办法冒用，除非你验证 IP。

被 XSS 攻击并拿到 Cookie 说明包括 UA 在内的客户端信息完全被掌握了，这些都可以在构造 HTTP 请求的时候自定义，你服务器是验证不了真假的。

我也在思考这个问题