Почему куки " по своей природе небезопасны"?
Самая большая проблема куки: она хранится на компьютере пользователя, что открывает множество возможностей.Сервер потерял контроль над конфиденциальностью куки-файла после его отправки клиенту.Поскольку данные cookie хранятся на компьютере пользователя, данные могут быть утечены, когда:
- Уязвимость в операционной системе используется злоумышленником.
- Уязвимость в пользовательском агенте используется злоумышленником.
- Расширение браузера может получать разрешение на чтение файлов cookie (например, Chrome ).Да, пользователю будет отображаться уведомление, но многие люди просто игнорируют его и нажимают «Да».
- Файлы cookie могут проверяться в инструменте разработчика браузера другими пользователями.
- Подробнее ...
Для флага secure, если вы отправляете конфиденциальную информацию в файле cookie secure в браузер, сохраняются проблемы безопасности:
- Пока флаг
httpOnly не установлен, все вредоносные сценарии могут читать этот файл cookie и отправлять информацию на любой сервер. - Если настройка
domain неверна, вы можете утечь этот конфиденциальный файл cookie некоторыминтерфейсы.Например, если secure cookie domain равен /, то весь бэкэнд-API получит конфиденциальные данные, которые могут не соответствовать вашим ожиданиям.