問題タブ [cookie-httponly]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

156 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
0 に答える
372 参照

cookies - リダイレクト前に HTTPOnly Cookie が保存されない

現在、ログインの詳細を含む POST 要求を Python サーバーに送信する HTML ページがあります。Python サーバーはログインを確認し、ヘッダーを介して Cookie を送り返します (私は Python ライブラリに組み込まれている Cookie クラスを使用しています)。200 OK ステータスを取得したらすぐにリダイレクトしたい。問題は、Cookie が十分に迅速に設定されていないため、Cookie が設定される前にリダイレクトが発生し、check_login ページにログインしていないことが表示されることです。

ブラウザに HTTPOnly Cookie を保存させたい。XMLHttpRequest API に、Cookie が保存された後にリダイレクトできるもの、または別の方法がありますか?

ありがとう!

HTTPRequest コード:

このリクエストは、ボタンをクリックすることで呼び出されます。このボタンが表示されているページに戻ってもう一度クリックすると、最初のクリックで Cookie が設定されているため、常にログインしたままになります。

0 投票する
3 に答える
22554 参照

cookies - Tomcat 7 sessionid cookie は http のみを無効にし、安全です

Tomcat 7 サーバーで実行されている Web アプリケーションがあります。セッション ID を持つ Cookie には、デフォルトでフラグHttpOnlySecure. JSESSIONIDCookieのこのフラグを無効にしたい。しかし、それはうまくいきません。web.xmlファイルでこれを変更しましたが、機能していません。

攻撃者が xss の脆弱性を見つけた場合、Cookie を盗んでセッションを乗っ取ることができるため、これがセキュリティ リスクであることはわかっています。

Cookie は、JSESSIONIDHTTP と HTTPS、および AJAX 要求で送信する必要があります。

編集:

次のオプションをファイルHttpOnlyに追加して、フラグを無効にしました。conf/context.xml

0 投票する
1 に答える
382 参照

javascript - デバイス登録に httpOnly Cookie を使用する

セキュリティ対策の一環として、ユーザーにデバイスを「登録」してもらいたいモバイル Web サイトを持っているので、ユーザーがサイトにアクセスできるデバイスの数を制限できます。私の考えでは、「新しい」デバイスの場合、2 要素認証プロセスを実行し、サーバーから送信された GUID を、GUID を保持する httpOnly Cookie (SSL 経由) に保存します。ユーザーがサイトにアクセスしてユーザー名とパスワードを使用してログインすると、サーバーはその Cookie をデータベース内のユーザー レコードと比較し、一致する場合はログインさせます。

だから私の質問は: これは httpOnly クッキーの有効/安全な使用ですか? 「デバイス登録」について説明している方法は意味がありますか?

ありがとう!

0 投票する
1 に答える
6086 参照

security - SMSESSION Cookie の Secure および HttpOnly により、ログイン機能が壊れる

アプリケーションに対して実行されたセキュリティ スキャン (SCABBA) の脆弱性のため、SMESSION cookie に secure および HttpOnly を追加しました。現在、あるアプリケーションから別のアプリケーションにリダイレクトしている場合(すべてがシングルサインオンになっている場合)、セッションが5〜10分で無効になるなどの問題に直面しています。ログインページにリダイレクトしています。

私たちが行ったSMSESSIONの修正がこれらの問題を引き起こしていることを願っていますが、それについては確信が持てません。以下の情報を入手した場所

siteminder が生成する smsession cookie は常に暗号化された形式であり、安全性も高い方法です。siteminder cookie に安全な http のみのフラグを実装することはできますが、これらのフラグを cookie に同様に実装した後、いくつかの機能上の問題が発生する可能性があります。(a) シームレスは、HTTP から HTTPS へ、またはその逆に移行すると壊れます。(すべて https のみです) (b) セッション維持の問題がほとんどない可能性があります (c) ログアウト機能が壊れる可能性があります。これらは、過去数回のケースで経験した破損のほんの一部です。

誰でもそれについて考えられますか?

前もって感謝します

-よろしく、Raviteja Koditiwada

0 投票する
1 に答える
6483 参照

javascript - javascriptを使用してCookieのHttpOnly属性を「True」に設定します

次のようなCookieを設定するJavascriptの関数があります。

Cookie のHttpOnly属性をTRUEに設定したい。

Javascriptでそれを行うにはどうすればよいですか?

私はうまくいかなかった次の方法を試しました:

また、Googleで検索しましたが、Javascriptで解決策が見つかりませんでした。


12345678910