浏览器中的安全性
答
完全取决于ID的用途。
如果是认证,这是一个坏主意。我可以改变它到任何东西。
你最好存储一个随时更新的随机数(每个页面如果不会毁掉你的服务器)。然后在你的数据库中将这个匹配到经过验证的用户。
答
没关系,只要确保您对该cookie执行验证即可。
答
可以这样做。但在提交任何重要内容之前,请询问该用户的密码以进行验证。
答
如果它是用于任何类型的会话管理,或被用作获取敏感信息(密码,财务,医疗等)访问权的密钥,那么你不想将它存储在cookie中 - 当然不是无论如何。
好的做法是使用加密的会话cookie,以便难以猜测,针对内部服务器引用进行验证,经常更新(对安全状态进行任何更改 - 例如从http到https页面)并撤销离开或注销以防止重复使用。