能读取浏览器 Cookies，就能浏览用户网站数据了吧

2021-01-25 01:21:45 +08:00

exc

rt.

我的网站自动登录用的是 jwt，其中 AccessToken 放在 Cookies 里。我在想，软件读取了浏览器的 Cookies 数据，那么他是不是就可以浏览用户已登录的所有的网站数据了。

1221 次点击

所在节点

6 条回复

rodrick

2021-01-25 08:18:39 +08:00

如果以已经读取为前提的话应该是的，所以说后端不要相信前端的数据，多验证多更新

ggabc

2021-01-25 08:40:21 +08:00

是这样，所以以前有人用 ifream 偷 cookie

xiaoyang7545

2021-01-25 09:49:26 +08:00

@ggabc iframe 能偷 cookie? 不能直接获取被嵌套页面的 cookie 吧。

fisher335

2021-01-25 10:44:10 +08:00

这个就是这样的，你认证的只需要 cookies，如果能拿到这个值，放到请求里面，就能构造登录结果

wanguorui123

2021-01-25 11:19:32 +08:00

HttpOnly

dingwen07

2021-01-25 11:28:30 +08:00

我的网站服务端记录了 Token 的 IP 和 UA，不一致会要求重登

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.