Cookies - PHP против Javascript
Что касается безопасности и удобства, какие куки лучше PHP или Javascript?
6 ответов
Это одни и те же файлы, в обоих случаях куки отправляются в браузер, сохраняются там, и браузер отправляет их вам обратно каждый запрос, пока не истечет или не будет удален.
По этой причине вы никогда не должны использовать cookie-файлы для обеспечения безопасности, поскольку это подразумевает ваш вопрос, а также для любых данных, которые вы считаете важными, чтобы конечный пользователь не изменил их.
При использовании файлов cookie всегда нужно помнить пять вещей:
1 - вы не можете доверять его содержанию
2 - вы не можете предполагать, что он все еще будет там при следующем запросе
3 - нельзя доверять его содержанию
4 - вы не можете предположить, что пользователь никогда не посещал, если его там нет
5 - нельзя доверять его содержанию
Если вы получаете это, доступ к cookie из php или javascript - это просто вопрос того, что вам удобнее.
Не существует такой вещи, как cookie "php" или "JavaScript".
Печенье это печенье это печенье. Импортная вещь - это то, что вы храните в ней. Итак, что вы храните в них?
Я не уверен, что когда вы задавали вопрос, вы знали о том, что некоторые браузеры поддерживают дополнительный флаг HTTPOnly для файлов cookie. В связи с этим куки, отправленные с PHP, которые содержат HTTPOnly Флаг не может быть изменен клиентским JavaScript-кодом в браузерах, которые поддерживают функцию, которая каким-то образом усиливает безопасность.
Таким образом, пользователи, имеющие браузер, поддерживающий файлы cookie HTTPOnly, будут лучше защищены от XSS-атак.
Ну, я не гуру безопасности, но одно точно. Если вы установите их в JavaScript, так как это интерфейс, пользователь увидит, как вы читаете и пишете свои куки и что вы вставляете в них, что означает, что у него есть преимущество. Делая это в PHP, не покажешь ему, как ты их читаешь и пишешь и что ты с ними делаешь.
Если вы говорите о сессионных куки, то их можно считать безопасными по сравнению с обычными.
Они точно такие же, когда вы вызываете setcookie() на PHP, все, что он делает, это отправляет HTTP-заголовок, который интерпретируется браузером, чтобы сохранить cookie-файл в течение заданного времени жизни. То же самое происходит с Javascript.