security - 将安全字段存储在 cookie 中是否正确?
问题描述
我尝试使用 ASP.Net Core Identity 在 cookie 中存储额外的字段。
其中一个字段是角色名称。
将角色名称存储在 cookie 中是否安全?
例如,用户是否可以将角色名称从“normalUser”更改为“admin”?
我正在使用 ASP.Net Core 3.1 版本。
解决方案
切勿将敏感数据存储在 cookie 中。正如 mason 在评论中所说,cookie 可以被修改,这意味着它们可以被利用。此外,您的 cookie 可能是纯文本的,这更糟。
我建议将此类数据安全地存储在后端。
会话绝对比 cookie 更安全,因为它们存储在服务器端,但它们也可能受到攻击(会话劫持)。您需要正确配置它们以获得更好的安全性。
推荐阅读
- python - AttributeError:“MySQL”对象没有属性“光标”
- javascript - 如何在 React Typescript 中获取图像并返回其 url?
- ios - IOS WKWebview和RN-Webivew的默认请求头
- service - 在wix中卸载msi时如何删除服务?
- flutter - 运行 pub get 时出错:无法重命名目录,因为它正在被另一个进程使用
- kotlin - retrofit2: java.io.EOFException 即使邮递员工作正常
- java - Java 的 JIT 编译器如何使坏代码比好代码更快?
- flutter - Flutter:为什么未来的构建器运行不止一次
- javascript - 从外部角度观察球体上的点
- git - git存储库拆分的正确方法是什么?