一、對儲存到cookie裡面的敏感資訊必須加密
#二、設定HttpOnly為true
1、這個屬性值的作用就是防止Cookie值被頁面腳本讀取。
2、但是設定HttpOnly屬性,HttpOnly屬性只是增加了攻擊者的難度,Cookie盜竊的威脅並沒有徹底消除,因為cookie還是有可能傳遞的過程中被監聽捕獲後訊息洩漏。
三、設定Secure為true
1、設定該屬性給Cookie時,只有在https協定下造訪的時候,瀏覽器才會傳送該Cookie。
2、把cookie設定為secure,只保證cookie與WEB伺服器之間的資料傳輸流程加密,而儲存在本地的cookie檔案並不會加密。如果想讓本地cookie也加密,就得自己加密資料。
四、設定有效期限
1、如果沒有設定有效期限,萬一使用者取得到使用者的Cookie後,就可以一直使用使用者身分登入。
2、在設定Cookie認證的時候,需要加入兩個時間,一個是“即使一直在活動,也要失效”的時間,一個是“長時間不活動的失效時間”,並在Web應用中,首先判斷兩個時間是否已逾時,再執行其他操作。
以上是如何提高cookie的安全性的詳細內容。更多資訊請關注PHP中文網其他相關文章!
