问题描述
我想这不是第一次有人问这个问题了。但我无法得到明确的答案。
是否有可能“破解”cookie?例如,如果有人登录,我会创建一个“用户 ID”cookie,值为“usr01301”,这是对该用户的引用。如果该用户正在加载网页,则该网站将检查 cookie。如果“用户 ID”可用,用户将使用与用户 ID 相关联的帐户登录。
但是,有人可以手动编写此 cookie 吗?还是改成别的ID?能够使用此 cookie 登录。
解决方法
是
Session Hijacking 是一个非常真实的东西,它很容易在任何没有良好安全系统的网站上被利用。在 cookie 中使用用户名是一个非常非常糟糕的主意。
有些浏览器插件可以让您轻松edit cookies,但您甚至可以使用许多浏览器随附的开发者控制台来实现。
就此而言,您根本不需要浏览器。 wget 可以从命令行执行 http requests with cookies。