12

アプリケーションサーバーにSSLをすでに設定している場合でも、CookieにHttpOnlyを設定する必要がありますか?

4

1 に答える 1

20

はい。2つのフラグは互いに関係がありません(ただし、どちらもセキュリティ/プライバシーオプションです)

  • 「安全」とは、Cookieが暗号化された接続を介してのみ送信されることを意味します

  • 「HttpOnly」は、CookieがJavascriptに表示されないことを意味します

たとえば、HTTPSページにXSSを設定することもできます(その後、悪意のあるスクリプトがCookieを食いつぶす可能性があります)。

于 2011-12-23T03:17:02.450 に答える