8
Se ho già impostato SSL per il mio server delle applicazioni, devo ancora impostare HttpOnly per i cookie?HttpOnly necessario quando SSL è già impostato?
A
risposta
14
Sì. Le due bandiere hanno nulla a che fare con l'altro (entrambi sono le opzioni di sicurezza/privacy, però)
"Secure" significa che il cookie viene inviato solo su connessioni crittografate
"HttpOnly" si intende che il cookie non sarà visibile a JavaScript
si potrebbe ancora avere XSS in una pagina HTTPS, ad esempio (e quindi uno script maligno potrebbe mangiare il vostro cookie).
+0
Come ho capito, lo scopo di rubare i cookie qui è per il dirottamento di sessione. Se SSL è abilitato, il dirottamento di sessione non è possibile? (Sono corretto qui?) – ysp80
+0
Con XSS, puoi avere Javascript dannoso per leggere il cookie di sessione. È quindi possibile inviarlo a un altro server (ad esempio creando un tag immagine nascosto con il valore del cookie nell'URL) e dirottare la sessione. – Thilo
+0
Ma è possibile dirottare la sessione quando SSL è già abilitato? – ysp80
Problemi correlati
- 1. jquery - $ (document) è già necessario?
- 2. Spark 1.6: java.lang.IllegalArgumentException: spark.sql.execution.id è già impostato
- 3. Quando è necessario NSCopying?
- 4. enum impostato su stringa e ottenere valore pungere quando necessario
- 5. Quando è necessario utilizzare System.AppContext?
- 6. Quando è necessario utilizzare [Sfogliabile (vero)]?
- 7. Perché è necessario utilizzare la vista Frammenti Eclipse quando esistono già modelli di editor?
- 8. errore quando https apertura URL: po keyCertSign non è impostato
- 9. Quando è necessario malloc in C?
- 10. Inizializza un modulo quando è necessario
- 11. Quando è necessario utilizzare _.bindAll() in Backbone.js?
- 12. Delphi's Sharemem - Quando non è necessario
- 13. quando è necessario il modello dell'adattatore?
- 14. Nome discussione: quando è necessario conoscerli?
- 15. Quando è necessario passare argomenti a `Thread.new`?
- 16. Come impostare la flag httpOnly in ngCookies?
- 17. "La proprietà OutputPath non è impostato per il progetto" quando OutputPath è impostato
- 18. Forzare i cookie HttpOnly con JRun/ColdFusion
- 19. sun-jaxws.xml - Quando è necessario e quando no?
- 20. avvertimento MediaPlayer Android: Dovrebbe avere regolatore sottotitolo già impostato
- 21. Trova l'elenco delle notifiche locali che l'app ha già impostato
- 22. Quando è necessario impostare la proprietà contentsScale di un CALayer?
- 23. Quando è necessario utilizzare i reindirizzamenti di binding?
- 24. Perché rilasciare una proprietà che hai già impostato su zero?
- 25. Meteor: ANDROID_HOME non è impostato, anche se esso è impostato
- 26. SessionAuthenticationModule Cookie Handler che non crea cookie HttpOnly sicuro
- 27. Stesso server, sia SSL che non SSL
- 28. accessibilityIdentifier nullo quando è impostato in XI ter, deve essere impostato da User Defined Runtime attributi
- 29. Quando è impostato il sintetizzatore di accesso al codice bytecode JVM 0x1000 (hex) impostato "sintetico"?
- 30. Impossibile selezionare UITableViewCell quando TableView setEditing è impostato
HttpOnly ha lo scopo di prevenire gli attacchi XSS. Non ha nulla a che fare con SSL. –
@Marc B httponly fa ** NON ** impedisce gli attacchi xss, non diffonderlo. XSS è ancora molto sfruttabile, guarda il worm sammy. – rook