提高cookie的安全性的几个建议

一、对保存到cookie里面的敏感信息必须加密

 

二、设置HttpOnly为true

1、该属性值的作用就是防止Cookie值被页面脚本读取。

2、但是设置HttpOnly属性，HttpOnly属性只是增加了攻击者的难度，Cookie盗窃的威胁并没有彻底消除，因为cookie还是有可能传递的过程中被监听捕获后信息泄漏。

 

三、设置Secure为true

1、给Cookie设置该属性时，只有在https协议下访问的时候，浏览器才会发送该Cookie。

2、把cookie设置为secure，只保证cookie与WEB服务器之间的数据传输过程加密，而保存在本地的cookie文件并不加密。如果想让本地cookie也加密，得自己加密数据。

 

四、给Cookie设置有效期

1、如果不设置有效期，万一用户获取到用户的Cookie后，就可以一直使用用户身份登录。

2、在设置Cookie认证的时候，需要加入两个时间，一个是“即使一直在活动，也要失效”的时间，一个是“长时间不活动的失效时间”，并在Web应用中，首先判断两个时间是否已超时，再执行其他操作。

参考资料： 提高cookie的安全性的几个建议   http://www.studyofnet.com/news/1093.html