Tôi đang cố gắng xác định phương thức an toàn nhất cho biểu mẫu đăng nhập dựa trên ajax để xác thực và đặt cookie phía máy khách. Tôi đã nhìn thấy những điều về cuộc tấn công XSS như thế này:Cookie đăng nhập/phiên, Ajax và bảo mật
How do HttpOnly cookies work with AJAX requests?
và
http://www.codinghorror.com/blog/archives/001167.html
Vì vậy, tôi đoán câu hỏi cốt lõi của tôi là ...
1) Đang sử dụng ajax tinh khiết để đặt cookie an toàn, nếu vậy, phương pháp an toàn nhất (httpOnly + SSL + giá trị được mã hóa, v.v.) là gì?
2) Phương pháp ajax thuần túy có liên quan đến việc đặt phía máy khách cookie không? Điều này có an toàn không?
3) Thiết lập cookie theo cách này có đáng tin cậy trên tất cả các trình duyệt/HĐH chính không?
4) Việc sử dụng IFrame ẩn có an toàn hơn không (gọi một trang web để đặt cookie)?
5) Nếu có thể, có ai có mã cho điều này (PHP là chương trình phụ trợ của tôi) không?
Mục tiêu của tôi là đặt cookie và cung cấp cookie cho cuộc gọi tiếp theo tới máy chủ mà không cần điều hướng khỏi trang.
Tôi thực sự muốn đánh dấu sự đồng thuận, cách an toàn nhất để thực hiện việc này. Cuối cùng, mã này được lên kế hoạch được thực hiện mã nguồn mở, vì vậy hãy không có mã thương mại (hoặc không có gì mà không đứng lên để giám sát công cộng)
Cảm ơn, -Todd
Cảm ơn bạn, câu trả lời đã được chỉ là những gì tôi đang tìm kiếm - chu đáo và không có gì ngắn tuyệt vời. Tôi đánh giá cao nó. - Todd – supertodda