2011-12-23 9 views
8

Se ho già impostato SSL per il mio server delle applicazioni, devo ancora impostare HttpOnly per i cookie?HttpOnly necessario quando SSL è già impostato?

+1

HttpOnly ha lo scopo di prevenire gli attacchi XSS. Non ha nulla a che fare con SSL. –

+0

@Marc B httponly fa ** NON ** impedisce gli attacchi xss, non diffonderlo. XSS è ancora molto sfruttabile, guarda il worm sammy. – rook

risposta

14

Sì. Le due bandiere hanno nulla a che fare con l'altro (entrambi sono le opzioni di sicurezza/privacy, però)

  • "Secure" significa che il cookie viene inviato solo su connessioni crittografate

  • "HttpOnly" si intende che il cookie non sarà visibile a JavaScript

si potrebbe ancora avere XSS in una pagina HTTPS, ad esempio (e quindi uno script maligno potrebbe mangiare il vostro cookie).

+0

Come ho capito, lo scopo di rubare i cookie qui è per il dirottamento di sessione. Se SSL è abilitato, il dirottamento di sessione non è possibile? (Sono corretto qui?) – ysp80

+0

Con XSS, puoi avere Javascript dannoso per leggere il cookie di sessione. È quindi possibile inviarlo a un altro server (ad esempio creando un tag immagine nascosto con il valore del cookie nell'URL) e dirottare la sessione. – Thilo

+0

Ma è possibile dirottare la sessione quando SSL è già abilitato? – ysp80