Yaklaşık iki farklı senaryoyu söz ediyoruz: JavaScript'in tanımlama okuma/değiştirme izin
- onlar HttpOnly
1) JavaScript izin verilmesi olarak işaretlenir eğer bir kullanıcı çerezleri değiştirebilir çerezleri oku/değiştir.
Normalde JavaScript'in tanımlama bilgilerine (okuma veya yazma) erişmesini istememenizin nedeni, çoğu sitenin site kimlik doğrulamasını işlemek için çerez kullanmasıdır. Saldırganların bir web sitesinde Cross-Site Scripting (XSS) istismarını yaratması yaygındır ve bunu kimlik doğrulama çerezinin değerlerini okumak ve saldırganın kontrol ettiği bir sunucuya göndermek için kullanın. Saldırganın oturum çerezleri olduğunda, saldırganın saldırganların kimlik doğrulama çerezinin değerlerini saldırganlar oturumuna ekleyebilmesi için (sitenin güvenliğine bağlı olarak) bir şans vardır. Daha sonra hedef alana gittiklerinde mağdur olarak muamele görürler ve kurbanın yapabileceği her şeyi yapabilirler.
Çerezleri çalmak XSS ile yapılabilecek tek şey değildir, daha fazla okumak için OWASPS - A3 Cross-Site Scripting write-up'a bakın. onlar HttpOnly
Evet olarak işaretlenir ise
2) Bir kullanıcı tanımlama bilgilerini düzenleyebilir. Kullanıcı, çerezleri, html, css, JavaScript'i, makinelerindeki her şeyi değiştirebilir. Bu yüzden, sırlar müşterinin bilgisayarında asla saklanmamalı ve istemci/kullanıcının bilgisayarından gelen HERHANGİ değerlerin geçerli olduğu kanıtlanana kadar güvenilmez olarak görülmesi gerekir.
Bu bir güvenlik sorunu değildir. Aslında, bunu önlemek mümkün değildir, çünkü çerezler kullanıcı tarafından saklanır. – afuous