Question

所有用户输入的值都是不完全可信的，所以在防御认证漏洞之前，我们应该先了解认证的业务逻辑，严格限制输入的异常字符以及避免使用客户端提交上来的内容去直接进行操作。应该把 cookie 和 session 结合起来使用，不能从 cookie 中获取参数值然后进行操作。另外在设置 session 时，需要保证客户端不能操作敏感 session 参数。

特别需要注意的是敏感数据不要放到 cookie 中，目前还有不少应用会把账号和密码都直接放入到 cookie 中，cookie 在浏览器端以及传输过程中都存在被窃取的可能性，如果程序限制了一个用户只能同时在一个 IP 上面登录，这时候即使别人拿到了你不带密码的 cookie 也会使用不了，但是如果 cookie 里面保存了用户名和密码，这时候攻击者就可以尝试用密码直接登录了。