cookie防篡改验证
2020-06-21 本文已影响0人
YAOPRINCESS
目的:让服务器端能识别cookie值被篡改了
https://www.cnblogs.com/walls/archive/2018/05/22/9070166.html
image.png
这个人的想法错了,他举的例子相当于我提前知道了另一个人登录后返回的签名,用这个签名去登录,这不是多此一举嘛,cookie防篡改防的是你不知道别人的签名的情况下随便填username想要获取别人的信息。
你想要得到别人的签名你就要先能登录,登录要确保用户名密码正确,你都拥有正确的账号密码了还去骗服务器?这不是自欺欺人?
当然你可以登上自己的账号后,修改用户名(当然不能确定它背后的加密算法咋设计的,这边只是距离)然后得到相应的签名,不过一般程序好像都是用户名唯一,哈哈哈
