27

質問にあるように、Cookie が HttpOnly の場合、Javascript 内に Cookie が存在するかどうかを確認できますか? その中の情報にアクセスする必要はありません。情報があることを知っているだけです。

状況についてもう少し情報を加えると、もともと Cookie を認証トークンとして使用する Web サーバーがあり、クライアントによって使用されないため、httponly に設定されていたため、セキュリティが強化されました。

ただし、Cookie があるかどうかをクライアントが知る必要がある場合に変更が必要です (サイトはユーザーがログインしていなくても機能しますが、ユーザーがログインしている場合 (認証 Cookie が存在するため)、サイトは特定の情報を表示する必要があります)。ものと他のものを非表示にします。

Web サーバーには他のセキュリティ対策が講じられているため、クライアントが正しくない認証 Cookie を保持しているシナリオでも害はありませんが、Cookie を削除してユーザーを拒否するため、サイトはログインしているように見せかけます。 .

4

4 に答える 4

9

いいえ。以下のRobのコメントを参照してください。

おそらくすでに見たこれを参照してください-http://en.wikipedia.org/wiki/HTTP_cookie#Secure_and_HttpOnly

HttpOnly Cookieは、JavaScriptを介した呼び出し(「document.cookie」の参照など)などの非HTTPメソッドを介してアクセスすることはできません。

編集:応答を削除undefinedしました、私はあなたが使用していないかもしれないスクリプトを書きました:)

于 2012-02-19T22:00:16.300 に答える