我们有一个应用程序,除其他外,检查cookie的存在并读取和解密cookie的内容.虽然存储在cookie中的数据不敏感,但它已经通过TripleDes加密进行了加密.今天提出的问题是,保存在单个PC上的cookie是否可以复制到另一台PC上,以及Web应用程序是否会在另一台计算机上检测到这个复制的cookie的存在,并最终解密它在原始PC上的内容.
我的问题是这样的:
我们使用标准ASP.NET实现来保存Cookie(即通过HttpResponse),index.dat文件是否阻止将cookie从一台机器移植到另一台机器?如果index.dat文件也被传输和复制,还是在index.dat内部有一些内部结构,将cookie与特定机器连接怎么办?
解决方法
绝对.这是
cross-site scripting (XSS) attacks工作的一种方式:
>我在页面中插入javascript
我等待有人看页面
>我注射的JavaScript发送给我你的cookies
我按照你的身份登录,做坏事
这个特殊的问题bit SO在私人测试版.
