Se ho già impostato SSL per il mio server delle applicazioni, devo ancora impostare HttpOnly per i cookie?HttpOnly necessario quando SSL è già impostato?
risposta
Sì. Le due bandiere hanno nulla a che fare con l'altro (entrambi sono le opzioni di sicurezza/privacy, però)
"Secure" significa che il cookie viene inviato solo su connessioni crittografate
"HttpOnly" si intende che il cookie non sarà visibile a JavaScript
si potrebbe ancora avere XSS in una pagina HTTPS, ad esempio (e quindi uno script maligno potrebbe mangiare il vostro cookie).
Come ho capito, lo scopo di rubare i cookie qui è per il dirottamento di sessione. Se SSL è abilitato, il dirottamento di sessione non è possibile? (Sono corretto qui?) – ysp80
Con XSS, puoi avere Javascript dannoso per leggere il cookie di sessione. È quindi possibile inviarlo a un altro server (ad esempio creando un tag immagine nascosto con il valore del cookie nell'URL) e dirottare la sessione. – Thilo
Ma è possibile dirottare la sessione quando SSL è già abilitato? – ysp80
HttpOnly ha lo scopo di prevenire gli attacchi XSS. Non ha nulla a che fare con SSL. –
@Marc B httponly fa ** NON ** impedisce gli attacchi xss, non diffonderlo. XSS è ancora molto sfruttabile, guarda il worm sammy. – rook