Có sự khác biệt nào giữa việc sử dụng cookie và sử dụng tiêu đề bình thường trong trường hợp giao tiếp HTTP không?

cr001

05:55, 17/04/2023

Tôi có một hệ thống bao gồm phần mềm tùy chỉnh và máy chủ HTTP. Phần mềm sẽ gửi một số yêu cầu với một số tiêu đề và máy chủ HTTP sẽ gửi phản hồi lại.

Bây giờ tôi có một số tiêu đề liên quan đến xác thực tùy chỉnh mà máy chủ sẽ gửi tới phần mềm, phần mềm sẽ giữ các tiêu đề đó và gửi lại chúng trong mỗi yêu cầu bổ sung để bỏ qua quy trình xác thực.

Dựa trên sự hiểu biết của tôi, điều này nên được thực hiện bằng cách sử dụng cookie. Tuy nhiên, trong quá trình phát triển phần mềm tùy chỉnh, việc thêm các tiêu đề thông thường rất dễ dàng trong khi việc thêm cookie khó triển khai hơn và việc sử dụng các tiêu đề bình thường cũng hoạt động theo chức năng dựa trên thử nghiệm.

Điều tôi muốn biết là, có lý do bảo mật nào và/hoặc lý do nào khác mà nên sử dụng cookie thay vì tiêu đề tùy chỉnh HTTP thông thường không?

197

0 + 0

http

bánh quy

tiêu đề http

shearn89

09:56, 17/04/2023

Cookie cũng thường được đặt bằng cách gửi tiêu đề từ máy chủ - trong nút, ví dụ: `res.setHeader('Set-Cookie', 'sessionCookie=value; HttpOnly');`

Hồi đáp

Điểm:2

Server

Bob

07:43, 17/04/2023

Đó là một câu hỏi phát triển phần mềm nhiều hơn và có khả năng thu hút các câu trả lời tốt hơn trên StackOverflow, Kỹ thuật phần mềm hoặc có thể là các trang SE bảo mật.

Nhưng câu trả lời đơn giản nhất là tiêu đề được đặt bởi ứng dụng khách và thường là tĩnh, chẳng hạn như bao gồm mã thông báo API cụ thể với mọi yêu cầu.

Phiên và cookie được thiết lập bởi máy chủ. Cái sau cung cấp cho máy chủ nhiều quyền kiểm soát hơn và bảo mật tốt hơn. Máy chủ có thể hết hạn chúng trong khi không làm mất hiệu lực thông tin đăng nhập thực tế mà bạn xác thực, khiến bạn phải xác thực lại (ví dụ: luôn sau X giờ hoặc một số thời gian nhàn rỗi) hoặc thay đổi giá trị của chúng để ngăn chặn các cuộc tấn công phát lại hoặc kích hoạt phiên cao.

0 + 0

shearn89

09:56, 17/04/2023

Để thêm - cookie cũng có thể được mã hóa bởi máy chủ để khách hàng không thể dễ dàng sửa đổi chúng!

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Is there any difference between using a cookie and using a normal header in the case of HTTP communication?

TH: มีความแตกต่างระหว่างการใช้คุกกี้และการใช้ส่วนหัวปกติในกรณีของการสื่อสาร HTTP หรือไม่

RO: Există vreo diferență între utilizarea unui cookie și utilizarea unui antet normal în cazul comunicării HTTP?

RU: Есть ли разница между использованием файла cookie и использованием обычного заголовка в случае HTTP-связи?

VI: Có sự khác biệt nào giữa việc sử dụng cookie và sử dụng tiêu đề bình thường trong trường hợp giao tiếp HTTP không?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.