大家都知道，Cookie是會話保持技術(shù)方案的一種，從理論上說拿到了Cookie是可以冒充用戶的。下面具體分析下：

Cookie的機制原理

我們知道HTTP協(xié)議本身就是無狀態(tài)的，服務(wù)器端默認情況下是無法分辨用戶的，這樣顯然是不合理的，所以我們需要給每個訪客加上一個“標識口令”。當分配了標識口令給客戶端后，客戶端瀏覽器后續(xù)發(fā)起的請求都會把這個“標識口令”附帶在請求頭參數(shù)里，這樣服務(wù)器端就能分辨哪些請求是同一個用戶了。

這個“標識口令”由服務(wù)器端生成，放置在客戶端瀏覽器Cookie中，而服務(wù)器端對應(yīng)會有一個Session，這個Session的唯一標識（SessionID）也是存儲在Cookie中。

篡改Cookie可以冒用請求

上面講到了，服務(wù)器端的SessionID是存儲在客戶端Cookie中的，這樣一來其它用戶一旦拿到Cookie中的SessionID后，是可以冒充原始用戶發(fā)起請求的。

這看上去是不合理的！

但是，Cookie和Session的機制如此。我們說Cookie禁用后Session可能不能正常使用，但是我們可以將SessionID以GET方式傳遞給服務(wù)器端，所以SessionID如果明文傳輸就存在安全隱患。

拿到了淘寶的Cookie是無法冒充用戶的

正因為Cookie是存儲在客戶端且不安全的，所以我們將用戶數(shù)據(jù)存儲在Cookie中時都會對數(shù)據(jù)進行加密。比如會驗證用戶的IP、終端特征標識等。即使其他用戶偽造了Cookie依舊是無法驗證通過的。

就這個問題，理解了http協(xié)議就知道了。本題按常識來說就不可能會冒充用戶，那么大的平臺怎么可能安全度那么低。

脫離常識，好好掰扯掰扯http協(xié)議才有意思。http的下層是tcp協(xié)議，tcp協(xié)議是面向連接的。http實現(xiàn)的時候，服務(wù)器在對客戶端請求做出響應(yīng)后，會主動斷開連接，所以一個http請求是tcp連接到斷開的一套操作。所以每次http請求都是無狀態(tài)，獨立的，互不聯(lián)系的，也就是上次請求和下次請求沒任何關(guān)系。為了讓http請求間產(chǎn)生聯(lián)系，于是就有了會話和cookie。那么會話和cookie到底是什么？你甚至可以把他倆理解成是一個東西。

http協(xié)議的一個請求由請求行、請求頭和請求數(shù)據(jù)組成，這個知識點可以自己百度。cookie其實就是請求頭中的一個，它其實就是個字符串，這個字符串保存著session的唯一標識或者服務(wù)器想讓保存的信息。那么這倆東西是咋用的，又是如何讓多個請求聯(lián)系到一起的呢？

當你使用瀏覽器第一次訪問某個網(wǎng)站的時候，http請求是不帶cookie的，如果服務(wù)器使用了session或者cookie，就會在http響應(yīng)中的響應(yīng)頭中帶上cookie返回給瀏覽器。http響應(yīng)和請求差不多，可以自行百度。瀏覽器收到cookie就會保存起來，同時，服務(wù)器也會把session保存起來，保存的形式可能是個文件，也可能是文件中的字符串，也可能是數(shù)據(jù)庫中的一個記錄等等。前面說過，cookie中保存著session的唯一標識，這樣當瀏覽器再次請求的時候，會帶上cookie，服務(wù)器就會知道請求的是那個session，這樣，相互獨立的http請求就產(chǎn)生了聯(lián)系！

題目可能沒這么復(fù)雜，也沒提到session，所以就更簡單了！cookie如果不保存session的唯一標識，那可能會保存用戶的賬號和密碼。如果服務(wù)器不做任何安全驗證，那么肯定可以冒充用戶。這和普通的用戶登錄沒啥區(qū)別！

但是就常識而言，淘寶網(wǎng)站不可能不做任何的安全驗證，具體如何驗證的我也不知道，有可能通過ip，有可能在cookie的基礎(chǔ)上加個token或者其他什么的請求頭！

如果能拿到別人的cookie是可以冒充別人的。首先要清楚，cookie存儲于客戶端，session存儲于服務(wù)器端，而http請求是無狀態(tài)的。因此服務(wù)器要識別某人通常都是用session完成，而session是依賴于cookie的。瀏覽器在每次發(fā)送請求時，會帶上cookie 而cookie會自動帶上session id，這樣服務(wù)器就知道這個請求是基于那個session的，也就知道了是誰。

然而有些特殊情況，比如客戶端禁用了cookie，如果要保持用戶登錄的狀態(tài)可以在發(fā)送請求時，在請求的參數(shù)里帶上session id，服務(wù)器也是可以知道用戶是誰，但現(xiàn)在討論的是有cookie的情況，順帶說一下這個問題。

所以在cookie冒充這個問題上服務(wù)器的防范措施比較有限，比如當用戶重新登錄，將之前的session作廢，同一用戶只能有一個session。保證用戶賬戶同一時間只能有一個設(shè)備登錄。另外，某些關(guān)鍵性的問題上用戶要輸入登錄密碼，或者使用手機驗證碼，以驗證身份。比如修改密碼，支付時。防范cookie冒充，更多還是需要用戶多注意網(wǎng)絡(luò)安全，比如安裝防病毒軟件，定時查殺病毒等等。

前面看到有的說驗證IP，這個基本是行不通的，現(xiàn)在多數(shù)APP或瀏覽器因為用戶體驗問題都需要保證用戶長時間登錄，而網(wǎng)絡(luò)的不穩(wěn)定會導(dǎo)致設(shè)備時常斷網(wǎng)，重新連接網(wǎng)絡(luò)后IP就會改變。從而會導(dǎo)致用戶需要重新登錄（這句是后加的）。所以驗證IP是行不通的。

還有就是有人說cookie帶tooken也是行不通的，都能拿到你的cookie，憑什么就拿不到你的token？

不要干這個事情，違法的，我16年給一個老板開發(fā)了一個取QQcookie的插件，他和網(wǎng)維合作，發(fā)QQ廣告，結(jié)果連累我被判了9個月

不行，淘寶的cookie的生命周期只是一次會話而已，關(guān)閉瀏覽器就失去作用了。但是據(jù)我研究，淘寶應(yīng)該有兩個cookie,一個是還沒登錄用的，這個拿到了也沒用。一個是登錄后用的，到這個是前面說的那樣，拿到了也沒用。即使你拿到之后，趁人家還沒下線，你馬上用這個cookie來登入淘寶，淘寶后臺還有ip檢測機制。但是，如果在同一個局域網(wǎng)內(nèi)，估計有戲。

session值是不會放在cookie里的吧，否則session就和cookie變成一個東西了，確實，cookie是存在客戶端的，不太安全，所以我們需要引入session，但從根本來說，用cookie卻實會引發(fā)安全問題，只有單純使用session，才能避免安全問題，但這需要每次用戶登陸手動輸入用戶名密碼，這樣用戶體驗很不好

僅僅cookie是不行，一般都有設(shè)備驗證，所以也要帶上設(shè)備IMEI uuid之類。同時還有人機校驗，比如我1分鐘提交60次訂單，系統(tǒng)就有可能讓你 進行人機認證，讓你滑動拼圖之類。一般來說客戶端都是token之類，這類是有有效期的，你之所以感受不到要重新獲取token，是因為在token的有效期快過前你使用了客服端，服務(wù)端發(fā)現(xiàn)設(shè)備沒有異常就給你生了新的 替換了舊的。這個過程用戶是無感知的。所以僅僅cookie是不夠的，僅僅token也是不夠的。要充分考慮各種機制，一一破解。

我覺得小網(wǎng)站可能會存在類似的漏洞，對于阿里來說，個人信息驗證不可能僅僅只有一個cookies，服務(wù)器端的session，網(wǎng)關(guān)加驗證碼那肯定也是必備，所以樓主還是洗洗睡吧

就只說結(jié)論吧，別的不多說了。

將別人的cookie放到請求里發(fā)給服務(wù)器，是可以冒充的，不過僅限于2000年之前的服務(wù)器安全技術(shù)條件下。(這里說的2000年只是大概時間，表示比較遠古的時代)。

你不要覺得奇怪，上網(wǎng)經(jīng)歷早的人都知道天涯社區(qū)，最早的時候有時候你切換賬號登錄，都會把帖子發(fā)到之前賬號去，就是因為切換賬號對cookie的處理不到位，驗證機制也太少。

現(xiàn)在是絕對沒可能了，因為cookie只會保存一些非核心的信息，現(xiàn)在主要是cookie加session加token聯(lián)合驗證身份，就算你自己正常瀏覽淘寶，你每次發(fā)的cookie都是不同的，你復(fù)制一份有用嗎？

想多了