是node.js Express.cookieSession足够安全地保存敏感数据?
我对会议有很好的基本了解。
有两个选项可以使用express和node.js进行会话。
express.session
-
express.cookieSession
第一个我很熟悉,但是我有一些关于第二个方法的问题。
使用cookieSession将存储客户端cookie中的所有实际数据。 这意味着敏感数据将被保存在客户端。
这看起来非常糟糕。 这是否意味着某些恶意软件可能检索到这些数据?
还有一个问题:
我试图用express.cookieSession
replace我的express.session
,一切正常,我可以看到客户端的数据,但似乎每次我删除cookie并重新进入服务器,我得到同样的会话令牌。 这怎么可能?
除了改变express.session
之外,还有什么我应该做的,让我们说:
app.use(express.cookieSession({ secret: 'keyboard cat' }));
每当客户获得新的会话时,为什么我会得到相同的标记?
关于安全性的问题1:一个站点不能访问另一个站点的cookie,但是在将敏感数据放在客户端时肯定会有风险。 这是不build议的。 在这里阅读答案的基本概要: 如何在PHP中安全地存储包含敏感数据的cookie?
问题2关于同样的道理,请参阅我对你的问题的评论。