8
Si ya configuré SSL para mi servidor de aplicaciones, ¿aún necesito configurar HttpOnly para las cookies?¿Es HttpOnly necesario cuando SSL ya está configurado?
A
Respuesta
14
Sí. Las dos banderas no tienen nada que ver uno con el otro (ambos son opciones de seguridad/privacidad, sin embargo)
"seguro" significa que la cookie sólo se enviará a través de conexiones cifradas
"HTTPOnly" significa que la cookie no será visible para Javascript
Usted todavía podría tener XSS en una página HTTPS, por ejemplo (y luego un guión mal podía comer su cookie).
+0
Según tengo entendido, el propósito de robar cookies aquí es para el secuestro de la sesión. Si SSL está habilitado, ¿el secuestro de la sesión no es posible? (¿Estoy en lo correcto aquí?) – ysp80
+0
Con XSS, puede tener Javascript malicioso para leer la cookie de sesión. A continuación, puede enviarlo a otro servidor (por ejemplo, creando una etiqueta de imagen oculta con el valor de la cookie en la URL) y secuestrar la sesión. – Thilo
+0
¿Pero es posible secuestrar la sesión cuando SSL ya está habilitado? – ysp80
Cuestiones relacionadas
- 1. ¿Por qué ya no es necesario indicar ByVal/ByRef?
- 2. -moz y -webkit ¿css ya no es necesario?
- 3. ¿Cómo es que app.address() es nulo cuando HOST está configurado en app.listen (PORT, HOST);
- 4. Accediendo al segundo servlet cuando grails está configurado en web.xml
- 5. ¿Es necesario cerrar cuando falló Fopen?
- 6. Cuando es necesario usar Clases en PHP
- 7. string.c_str() ¿es necesario desasignar?
- 8. Verificar SSL cuando está alojado en Rackspace (Mosso) Cloud
- 9. Instalación de Passenger cuando Nginx ya está instalado; ¿Posible?
- 10. instalación msiexec tranquila cuando el paquete ya está instalado
- 11. Botón ASP.NET options.clientSubmit está configurado como falso
- 12. IDENTITY_INSERT está configurado en off error
- 13. ¿Cómo se elevan los privilegios solo cuando es necesario?
- 14. jquery - ¿Es $ (documento) necesario?
- 15. UINavigationItem titleView "ignorado si leftBarButtonItem está configurado"?
- 16. Bit twiddling: ¿qué bit está configurado?
- 17. Jquery AJAX CORS + HttpOnly Cookie
- 18. IntelliJ 11 - Griales SDK no está configurado
- 19. LNK2005 (ya está definido)
- 20. ¿Es necesario considerar dejar caer el índice existente, ya que es un prefijo del índice recomendado
- 21. Cómo verificar si iCloud está configurado programáticamente
- 22. Hadoop: «ERROR: JAVA_HOME no está configurado»
- 23. C#, WPF, llama automáticamente a Dispatcher. ¿Invoca cuando es necesario?
- 24. ¿Cómo deshacerse de UIAppearance cuando no es necesario?
- 25. ¿Por qué session_start es necesario cuando se usa la sesión?
- 26. sharedUserId: ¿es seguro cambiar cuando la aplicación ya está en el mercado?
- 27. ¿Cuándo es necesario deshacerse?
- 28. crear directorio cuando sea necesario en maven
- 29. ¿Es realmente necesario CDATA?
- 30. ¿es necesario validar $ _SERVER ['REMOTE_ADDR']?
HttpOnly está destinado a prevenir ataques XSS. No tiene nada que ver con SSL. –
@Marc B httponly ** ** previene ataques xss, no disemine eso. XSS todavía es muy explotable, mira el gusano sammy. – rook