من کوکی ها رو اینکد می کنم و در کوکی هام یوزرنیم و اسم و فامیلی وتاریخ آخرین بازدید سایت رو ذخیره می کنیم و سپس تو بقیه صفحات اونا رو دیکد می کنم و ازش استفاده می کنم .حالا سوالم اینه که با این کارم آیا در مورد کوکی از حملات xss در امانم یا نه؟ اگه هم نه باید چکار کنم؟ آقا تو رو خدا کمکم کنید بد جوری توش موندم .راستی آیا سشن ها رو باید اینکد کنیم ؟ من که شنیدم نیازی نیست.نظر شما چیی؟ مرصی.

http://barnamenevis.org/forum/showthread.php?t=91241

آقا جان من این لینک داده شما رو که توسط آقای راد نوشته شده خوندم حالا نمیدونم تو اون دی ال ال اقای مایکروسافت ( AntiXSSLibrary.dll) وقتی از تابع
HtmlEncode استفاده میشه خود رشته ورودی رو میده. یا حتی وقتی که میام از متد
HtmlEncode از کلاس HttpUtility استفاده می کنم بازم همینه!!! آقایون اینو برام توضیح بدید.:بوس:

اون بعضی کاراکترهایی رو که برای حملات XSS مورد استفاده هست رو ENcode میکنه...
شما برای مثال عبارت :


<script>alert("Hi")</script>

رو بعنوان ورودی وارد کن و این مقدار رو تو db ببین چه جوری ذخیره شده.

خوب حالا من این کار رو انجام بدم (استفاده از متد
HtmlEncode
)دیگه واسه این که کوکی هام در امان باشند چه باید بکنم البته تو کوکی هام فقط یوزر نیم رو ذخیره می کنم .:بوس:

HttpOnly البته مرورگر های Apple مثل Opera و Safari هنوز پشتیبانیش نمیکنن ولی چیزه خوبیه.

1000 تا راه وجود داره برای رمز نگاری کوکی MD5,SHA1,SHA256 و...

موفق باشید

یعنی شما میفرمایید که با الگوریتم های نامتقارن این کار را انجام بدیم
یه فیلد برای کوکی تو جدول بگیریم و بقیه ماجرا
حالا من میخوام خودیوزر نیم و داشته باشم ولی وقتی که اومدم مثلا هشش کردم انوقت که دیگه نمیتونم این کار رو بکنم .نمیدونم شاید بهتر باشه از الگوریتم های متقارن این کار رو انجام بدم تا تو صفحه های دیکه بتونم دیکدش کنم ومثلا به طرف خوش آمد بگم. من دنبال راه اصولی استفاده از کوکی ام.

باید ببینی بر حسب نیازت کدوم راه امنیت رو بهتر تامین میکنه.راه قطعی وجود نداره.

موفق باشید

آقا من یوزر و اسم کاربرم رو میخوام بدم به کوکی و هر وقتی که میاد تو سایت بهش خوش آمد بگم اینارم میریزم تو متد htmlencoding آیا اینطوری ایراد داره ؟ برای امنیت سایت میگم اگه ایرادی داره خواهشا راه حلشو بگید ؟ میتونم اسم کاربرم رو بریزم تو سشن بعد تو صفحه های دیگه ازش استفاده کنم کدومشون بهتر؟؟!!مرصی از جوابتون.

خیلی خوب حالا اگه یه نفر بیاد یه سوال تقریبا ابتدایی بپرسه در عرض نیم ساعت چهل صد نفر بهش جواب می دادند.:متفکر:

برادر smrb59 (http://barnamenevis.org/forum/member.php?u=45796) من بهت گفتم خودت باید ببینی چی میخوای و چی به کارت میاد من قادر نیستم حدس بزنم برنامه و کوکی شما چه مسئولیتی داره که بخوام نظر شخصی خودم رو بهت تحمیل کنم.

ولی اگر فقط بنا به نمایش هست و در صورت تغییر این مقادیر توسط کاربر مشکلی پیش نمیاد همین روشی که گفتی خوبه و لازم نیست از Session استفاده کنی ولی اگر با تغییر این مقدار فکر میکنی به مشکل بر میخوری یه نمونه hash اونم نگه دار تا بتونی از تغییرات جلوگیری کنی.

موفق باشید