采用gorilla库导致API2的Cookie伪造不可用

Open t43Wiu6 opened this issue 3 years ago • 0 comments

稍微跟了一下，gorilla对cookie的处理中，只是用key把session id解出来然后去找对应的文件读取用户的信息

1ff2092410dec2130575256ca648eb1

所以只有在知道session id的情况下才能伪造用户cookie 导致API2: Broken authentication无法正常工作虽然/static/sessions/路由能看到id，但与预期解法不一致了

Jan 13 '22 08:01 t43Wiu6