8
Nếu tôi đã đặt SSL cho máy chủ ứng dụng của mình, tôi vẫn cần đặt HttpOnly cho cookie không?HttpOnly có cần thiết khi SSL đã được thiết lập không?
A
Trả lời
14
Có. Hai lá cờ không có gì để làm với nhau (cả hai đều là tùy chọn bảo mật/riêng tư, mặc dù)
"An toàn" có nghĩa rằng cookie sẽ chỉ được gửi qua các kết nối được mã hóa
"HttpOnly" có nghĩa là rằng cookie sẽ không hiển thị cho Javascript
Bạn vẫn có thể có XSS trên trang HTTPS, ví dụ (và sau đó tập lệnh ác có thể ăn cookie của bạn).
+0
Như tôi đã hiểu, mục đích của việc ăn cắp cookie ở đây là để chiếm quyền điều khiển phiên. Nếu SSL được bật, không thể thực hiện việc chiếm đoạt phiên? (Tôi có đúng ở đây không?) – ysp80
+0
Với XSS, bạn có thể có Javascript độc hại để đọc cookie phiên. Sau đó bạn có thể gửi nó đến một máy chủ khác (ví dụ bằng cách tạo một thẻ hình ảnh ẩn với giá trị cookie trong URL) và chiếm quyền điều khiển phiên. – Thilo
+0
Nhưng có thể chiếm đoạt phiên khi SSL đã được bật không? – ysp80
Các vấn đề liên quan
- 1. thiết lập ssl khi đặt ra
- 2. Thiết lập SSL với sockjs
- 3. Thiết lập SwipeGestureRecognizer, làm rõ cần thiết
- 4. Cách thiết lập Mercurial với ssl/security
- 5. Thiết cookie HttpOnly với javax.servlet 2,5
- 6. Thiết lập môi trường Git. Lời khuyên cần thiết
- 7. KillTimer có cần thiết không?
- 8. Thuộc tính CacheManager đã được thiết lập- Apache Shiro
- 9. Thiết lập SSL trong Active Directory cách thực hiện
- 10. Thiết lập ổ cắm máy chủ ssl với chứng chỉ đã ký
- 11. CDATA có thực sự cần thiết không?
- 12. Mutexes có cần thiết trong javascript không?
- 13. kiểm tra xem biến môi trường đã được thiết lập
- 14. jquery - Có phải $ (tài liệu). Đã cần thiết chưa?
- 15. Có cần thiết tĩnh khi khai báo const globals không?
- 16. Đối số textViewResourceId có cần thiết không?
- 17. Có phải <input> được thiết lập tốt mà không cần <form>?
- 18. Phiên PHP không được thiết lập
- 19. WPF - Combobox SelectedItem không được thiết lập?
- 20. Tham chiếu System.Web.Silverlight có cần thiết không?
- 21. Tiền tố khtml có cần thiết không?
- 22. Lỗi: Không thể nhập các thiết lập 'mysite.settings' sau khi thiết lập virtualenv cho Django
- 23. thiết lập websockets mà không cần dòng lệnh
- 24. Có một bộ ghi trang trên đĩa đã được thiết lập cho python không?
- 25. KillTimer có thực sự cần thiết không?
- 26. MongoDB - DBREF có cần thiết không?
- 27. Cần trợ giúp thiết lập hành khách với RVM
- 28. Giá trị ghi đè của Python không cần thiết lập
- 29. 'hibernate.dialect' phải được thiết lập khi không có kết nối nào có sẵn
- 30. enum thiết lập để chuỗi và nhận được giá trị chích khi cần
HttpOnly được thiết kế để ngăn chặn các cuộc tấn công XSS. Nó không liên quan gì đến SSL. –
@Marc B httponly không ** KHÔNG ** ngăn chặn các cuộc tấn công xss, đừng lan truyền điều đó. XSS vẫn rất dễ bị khai thác, hãy nhìn sâu bọ sammy. – rook