cookie 有哪些安全問題

cookie有以下安全問題：

• Cookie篡改：這是最容易出現的情況，也就是直接修改Cookie的內容。我們知道，Cookie是存儲在客戶端的，所以里面的內容可以通過瀏覽器的控制臺或者js代碼進行修改的。因此Cookie相對而言是不可信的，如果我們把一些重要的信息，例如權限信息存在Cookie，很容易就被有心人篡改，導致越權問題。

• Cookie劫持：很多網站是用Cookie來做用戶識別的，因此如果用戶的Cookie被劫持了，盜用者是可以用這個Cookie來偽裝成該用戶來進行網站操作的。Cookie劫持一般和XSS攻擊一起使用，先通過XSS攻擊獲得了在頁面上運行js的能力，然后通過js讀取Cookie，并發送給遠程的服務器。

• Cookie作用域攻擊：Cookie有兩個很重要的屬性Domain和Path，用來指示Cookie的作用域。如果我們的Cookie作用域設置得太高，即使我們開啟了Cookie安全選項，攻擊者仍可能通過設置一個更小作用域的Cookie來覆蓋掉我們設置的Cookie，使得在這個小作用域內，生效的不是我們設置的Cookie，而是攻擊者設置的Cookie。

回答所涉及的環境：聯想天逸510S、Windows 10。