可以在機器之間複製 cookie 來冒充使用者嗎？

我們有一個應用程序，除其他外，它檢查 cookie 的存在並讀取和解密 cookie 的內容。雖然儲存在 cookie 中的數據並不敏感，但它已通過 TripleDes 加密進行了加密。今天提出了一個問題，是否可以將保存在單台 PC 上的 cookie 複製到另一台 PC 上，以及 Web 應用程序是否會檢測到此複製的 cookie 在另一台電腦上的存在，並最終解密它在原始 PC 上的內容。

我的問題是：我們使用標準的 ASP.NET 實現來保存 cookie（即通過 HttpResponse），index.dat 文件是否會阻止將 cookie 從一台機器移植到另一台機器？如果 index.dat 文件也被傳輸和複製了，或者 index.dat 內部是否有一些內部結構將 cookie 與特定機器聯繫起來怎麼辦？

絕對地。這是跨站點腳本 (XSS) 攻擊的一種工作方式：

1. 我將javascript注入頁面
2. 我等著有人看頁面
3. 我注入的 javascript 向我發送了你的 cookie
4. 我以你的身份登錄並做壞事

在私人測試版期間，這個特殊問題有點 SO 。

是的，竊取 cookie 是竊取使用者會話的常用技術。

一些站點嘗試將 cookie 綁定到客戶端的 IP，但面對具有多個出站介面或其他非駐留設置的大型公司代理，這會失敗。

引用自：https://stackoverflow.com/questions/444698