最受欢迎

暴露我的 cookie 创建过程是否不安全

is it unsecure to expose my cookie creation process?

本文关键字:是否 不安全 过程 创建 我的 cookie 暴露 | 更新日期: 2023-09-27

在我的项目中,在某些地方,我需要通过javascript创建一个cookie。我试图编写一个非常解耦的过程,最终得到了这样的symfony服务:

<?php
namespace Evo'SecurityBundle'Service;
use Symfony'Component'HttpFoundation'Response;
class Cookie
{
    /**
     * @var
     */
    protected $cookiesParams;
    /**
     * Constructor
     *
     * @param $cookiesParams
     */
    public function __construct($cookiesParams)
    {
        $this->cookiesParams = $cookiesParams;
    }
    /**
     * Création de cookie interne
     *
     * @param $name
     * @param $value
     * @param null $expire
     * @param string $path
     * @param null $domain
     * @param bool $secure
     * @param bool $httponly
     * @return Response
     */
    public function setInternalCookie($name, $value, $expire = null, $path = '/', $domain = null, $secure = false, $httponly = true)
    {
        $response = array();
        if( isset($_COOKIE['accept-cookies']) ) {
            $response['success'] = true;
            $response['existed'] = true;
        }
        else {
            $response['success'] = true;
            $response['existed'] = false;
        }
        if( !isset($_COOKIE['accept-cookies']) ) {
            if( is_null($expire) ) {
                $expire = strtotime('+' . $this->cookiesParams['max_lifetime']);
            }
            if( is_null($domain) ) {
                $domain = $_SERVER['SERVER_NAME'];
            }
            $cookieSet = setcookie($name, $value, $expire, $path, $domain, $secure, $httponly);
            $response['success'] = $cookieSet;
            $response['set'] = $cookieSet;
        }
        return new Response(json_encode($response));
    }
}

大多数时候,我在 PHP 中调用控制器,因此不会暴露任何内容。但是在某些地方,我需要通过javascript创建我的cookie。所以我写了一个控制器操作来接收参数并调用我的 Cookie 服务。我的控制器是这样的: 

<?php
namespace Evo'SecurityBundle'Controller;
use Symfony'Bundle'FrameworkBundle'Controller'Controller;
use Symfony'Component'HttpFoundation'Request;
use Symfony'Component'HttpFoundation'Response;
class CookieController extends Controller
{
    /**
     * Créé un cookie interne, via le service de Cookie
     *
     * @param Request $request
     * @return Response
     */
    public function setInternalCookieAction(Request $request)
    {
        try {
            if(!$request->request->has('name') || !$request->request->has('value')) {
                throw new 'Exception('Mandatory cookie parameter missing.');
            }
            $cookieService = $this->container->get('security.cookie');
            $response = $cookieService->setInternalCookie('accept-cookies', 1);
        }
        catch('Exception $e) {
            $response = new Response(json_encode(array('success' => false, 'error' => $e->getMessage())));
        }
        return $response;
    }
}

我像这样用 AJAX 来称呼它: 

// set cookie via ajax call
$.ajax({
    type: "POST",
    url: "/set-internal-cookie",
    data: {'name': 'cookie-name', value: 'cookie-value'}
    dataType: 'json'
});

通过此过程,有人可以轻松找到如何创建自定义 cookie。不安全吗?

一个好的安全过程总是暴露的。默默无闻的安全性虽然有时很有帮助,但并不被认为是一个好的策略。

也就是说:您需要确保完全暴露的 EMC 仍然不会受到损害(或者不合理,具体取决于您的安全需要),例如通过合理安全的加密或其他验证过程。

相关文章:
最新更新
www.56WenDa.com 2012-2023 | php问答网 | php学习