我想保护cookie免受手动编辑。
if($_SERVER['REQUEST_METHOD'] != 'POST')
die("BAD REQUEST");
$password = $_POST['password'];
if($password != "123456"){
PASSWORD IS NOT VALID</center><br /></center>".header('Refresh: 3; url=index.php'));
}else{
setcookie("admin", $password);
header('location: admin.php');
}
我想确保这一点,因为当我通过javascript设置cookie时,我成为无需登录的管理员。
cookie是browser-based
存储机制。因此,任何人可以编辑 cookie都使用Javascript
,Browser Extensions
和Network Interceptors
。
但是,如果要保护cookie内容不被客户端编辑和访问。您应该遵循以下任何一项,
1。使用加密
2。将内容绑定到JWT有效负载中。
但是请注意,服务器只能读取/修改 cookie。因为私钥或秘密无法与客户端共享。