34
Tôi có một cookie KHÔNG PHẢI là HttpOnly Tôi có thể đặt cookie này thành HttpOnly qua JavaScript không?Đặt cookie thành HttpOnly qua Javascript
A
Trả lời
73
A HttpOnly cookie có nghĩa là không phải là có sẵn cho các ngôn ngữ kịch bản như JavaScript. Vì vậy, có trong JavaScript hoàn toàn không có API để có được/thiết lập các thuộc tính HttpOnly của cookie, vì nếu không sẽ đánh bại ý nghĩa của HttpOnly.
Chỉ cần đặt nó như vậy ở phía máy chủ bằng cách sử dụng bất kỳ ngôn ngữ phía máy chủ nào mà phía máy chủ đang sử dụng. Nếu JavaScript là hoàn toàn cần thiết trong điều này, bạn có thể xem xét để cho phép nó gửi một số yêu cầu (ajax) với ví dụ: một số tham số yêu cầu cụ thể kích hoạt ngôn ngữ phía máy chủ để tạo một cookie HttpOnly. Tuy nhiên, điều đó sẽ khiến hacker dễ dàng thay đổi số HttpOnly chỉ bằng XSS và vẫn có quyền truy cập cookie thông qua JS và do đó làm cho HttpOnly trên cookie của bạn hoàn toàn vô dụng.
+2
Tôi tự hỏi làm thế nào có thể một ứng dụng phía khách hàng như "EditThisCookie" mở rộng trình duyệt thay đổi cờ HttpOnly thành false. – pavanw3b
+1
@ PavanW3b: Nó không sử dụng ngôn ngữ kịch bản phía máy khách như JavaScript cho điều đó. Nó chỉ là một phần mở rộng của trình duyệt. – BalusC
+0
Tôi đã tìm ra từ bài viết dưới đây và nhận xét rằng Tiện ích mở rộng của Trình duyệt có đặc quyền nâng cao để sửa đổi cookie HttpOnly. http://www.troyhunt.com/2013/03/c-is-for-cookie-h-is-for-hacker.html#comment-2264963488 – pavanw3b
Các vấn đề liên quan
- 1. HttpOnly được đặt cho cookie ASP.NET_SessionId như thế nào?
- 2. đặt cookie với các cờ HTTPOnly trong mã vạch
- 3. Đặt httponly trong cookie JSESSIONID (Java EE 5)
- 4. Buộc cookie HttpOnly với JRun/ColdFusion
- 5. Đặt HTTPONLY cho Cookie phiên ASP cổ điển
- 6. Làm cách nào để đặt cookie HttpOnly trong Django?
- 7. Làm cách nào để xóa cookie HttpOnly?
- 8. Thiết cookie HttpOnly với javax.servlet 2,5
- 9. SessionAuthenticationModule Cookie Handler không tạo HttpOnly an toàn cookie
- 10. Trình duyệt nào hỗ trợ cookie HttpOnly?
- 11. httpOnly Session Cookie + Servlet 3.0 (ví dụ: Glassfish v3)
- 12. Đặt nhiều cookie trong Javascript
- 13. cờ an toàn và HttpOnly cho cookie phiên Websphere 7
- 14. Thêm thuộc tính 'HttpOnly' vào tất cả cookie phiên
- 15. Làm cách nào để đặt cờ HttpOnly trên cookie trong Ruby on Rails
- 16. đặt cookie tên miền chéo với javascript
- 17. Cookie Javascript và cookie php
- 18. Trình duyệt trên thiết bị di động có gửi cookie httpOnly qua Thẻ âm thanh HTML5 không?
- 19. Làm cách nào để bạn thiết lập cookie HttpOnly trong PHP
- 20. IE8 chặn cookie JavaScript
- 21. Đọc cookie qua HTTPS được đặt bằng HTTP
- 22. Sử dụng javascript để đặt cookie trong IE
- 23. Tạo cookie qua jquery
- 24. Làm cách nào để bạn định cấu hình cookie HttpOnly trong ứng dụng web tomcat/java?
- 25. giá trị đặt cookie jquery thành boolean true
- 26. IE 9 đặt cookie và chuyển hướng không thành công
- 27. Symfony2: đặt cookie
- 28. Cách đọc cookie an toàn bằng cách sử dụng JavaScript
- 29. Các phiên PHP có đặt bất kỳ cookie nào không?
- 30. Đặt cookie trên trình duyệt bằng Yêu cầu Ajax qua CORS
Làm cách nào để có thể đặt cookie bằng JavaScript mà chính JavaScript đó không được phép thao tác? Chỉ cần đặt nó ở phía máy chủ. – BalusC
Cookie không phải là HttpOnly và tôi muốn đặt nó thành HttpOnly qua Javascript. –
Tôi nghĩ rằng bạn bỏ lỡ điểm của HttpOnly. – BalusC