关于Itsdangerous会话管理的安全问题?
使用Itsdangerous创建的签名cookie的内容可以查看,但不能修改。
在使用Itsdangerous进行客户端会话管理时,有没有已知的安全问题或需要注意的事项?
这里提到的会话不会存储任何密码,但显然会存一些用来识别用户的信息,比如:
- 用户ID
- 头像的链接
- 用户角色
1 个回答
1
如果你在你的签名上没有设置超时时间,攻击者就可以轻松地把其他用户(或者管理员)的cookie换掉。会话ID比较复杂,攻击者需要一个一个地尝试,但一个签名字符串可以直接被查看(比如在一个开放的代理服务器上)。