8
Uygulama sunucum için SSL'yi zaten ayarlamış olsam, yine de HttpOnly'yi tanımlama bilgileri için ayarlamalı mıyım?HttpOnly gerekli mi?
A
cevap
14
Evet. iki bayrak (her ikisi de olsa güvenlik/gizlilik seçenekleri vardır)
"Güvenli" çerez sadece şifreli bağlantılar
"HttpOnly" anlamına gelir üzerinden gönderilen anlamına gelir birbirleriyle ilgisi olmayan çerez JavaScript
görünür olmayacak hala örneğin (ve sonra kötü bir senaryo çerezinizi yiyebilirim), bir HTTPS sayfada XSS olabilir.
+0
Anladığım kadarıyla, burada çerez çalmanın amacı oturumları ele geçirme amaçlıdır. SSL etkinse, oturum ele geçirme mümkün değil mi? (Burada mıyım?) – ysp80
+0
XSS ile oturum çerezini okumak için kötü niyetli Javascript'iniz olabilir. Daha sonra başka bir sunucuya gönderebilirsiniz (örneğin URL'de çerez değeri ile gizli bir resim etiketi oluşturarak) ve oturumu ele geçirebilirsiniz. – Thilo
+0
SSL zaten etkinken oturumu kaçırmak mümkün mü? – ysp80
İlgili konular
- 1. "Kendi" gerekli mi?
- 2. CDATA gerçekten gerekli mi?
- 3. Heroku'da ALLOWED_HOSTS gerekli mi?
- 4. KillTimer gerçekten gerekli mi?
- 5. Çift yıkama gerekli mi?
- 6. HttpOnly çerezini Django'da nasıl ayarlayabilirim?
- 7. HttpOnly çerezlerini nasıl kaldırırsınız?
- 8. jquery - $ (document). Zaten gerekli mi?
- 9. Forever.js'i OpenShift'de kullanmak gerekli mi?
- 10. Swift'de 'zayıf' kullanmak gerekli mi?
- 11. NHibernate'de Proxy Factory gerekli mi?
- 12. Jquery Ajax CORS + HttpOnly Kurabiye
- 13. ReentrantLock aracılığıyla erişilen alanlar için gerekli anahtar kelime gerekli mi?
- 14. ngCookies'de httpOnly bayrağı nasıl ayarlanır?
- 15. HttpOnly çerezlerini PHP'de nasıl kurarsınız
- 16. ConfigureAwait (false) gerekli değil, değil mi?
- 17. Kütüphane projeleri için proguard.cfg gerekli mi?
- 18. Paketlemeden sonra data.fs.old tutulması gerekli mi?
- 19. HTTP POST: içerik uzunluğu başlığı gerekli mi?
- 20. CFScript'teki kapsam döngü değişkenleri için gerekli mi?
- 21. Class.forName (JDBC_DRIVER) artık gerekli değil mi?
- 22. İçerik Uzunluğunu yanıt başlığımda ayarlamak gerekli mi?
- 23. Ünitede bir patlama paterni gerçekten gerekli mi?
- 24. Mysql'de geçici tablolar bırakmak gerekli mi?
- 25. Paypal Express Checkout, onay gerekli mi?
- 26. <select> Alanı Gerekli mi?
- 27. Geliştirme sırasında dSYM dosyaları gerekli mi?
- 28. NetworkCredential etki alanını ayarlamak gerekli mi?
- 29. Aşağıdaki kod parçasında yineleme gerekli mi?
- 30. JavaScript "window.onload" - gerçekten "gerekli" bir pencere mi?
HttpOnly XSS saldırılarını önlemek için tasarlanmıştır. SSL ile ilgisi yok. –
@Marc B httponly ** NOT ** xss saldırılarını engeller, bunu yaymayın. XSS hala çok kullanışlıdır, sammy solucana bakın. – rook