Recentemente ho affrontato un sito che sembra implementare qualcosa che possiamo chiamare "cookie di una volta". Questo cookie viene utilizzato per l'accesso singolo tra diversi siti.
In ogni richiesta il server invia un Set-Cookie che imposta un nuovo cookie di sessione utilizzato dal browser nella richiesta successiva ... Questo meccanismo dovrebbe ridurre il rischio di furto di cookie . Suppongo che non protegga completamente il furto di cookie perché se rubi il cookie prima che l'utente lo usi, puoi usarlo una volta e ottenere il nuovo set-cookie ... ma è più difficile per un utente malintenzionato usarlo .
Ha senso? È un meccanismo valido per evitare il furto di cookie?