問題タブ [httponly]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ajax - HttpOnly CookieはAJAXリクエストでどのように機能しますか?
Cookieに基づくアクセス制限のあるサイトでAJAXを使用する場合、JavaScriptはCookieにアクセスする必要があります。HttpOnly CookieはAJAXサイトで機能しますか?
編集: Microsoftは、HttpOnlyが指定されている場合にCookieへのJavaScriptアクセスを禁止することにより、XSS攻撃を防ぐ方法を作成しました。FireFoxは後でこれを採用しました。だから私の質問は:StackOverflowのようなサイトでAJAXを使用している場合、Http-Onlycookiesはオプションですか?
編集2:質問2. HttpOnlyの目的がCookieへのJavaScriptアクセスを防ぐことであり、XmlHttpRequestオブジェクトを介してJavaScript経由でCookieを取得できる場合、HttpOnlyのポイントは何ですか?
編集3:ウィキペディアからの引用は次のとおりです。
ブラウザがそのようなCookieを受信すると、次のHTTP交換では通常どおりに使用することになっていますが、クライアント側のスクリプトには表示されません。[32] フラグは標準の
HttpOnly一部ではなく、すべてのブラウザに実装されているわけではありません。現在、XMLHTTPRequestを介してセッションCookieを読み書きすることを妨げるものはないことに注意してください。[33]。
document.cookieHttpOnlyを使用すると、それがブロックされることを理解しています。ただし、XMLHttpRequestオブジェクトでCookie値を読み取ることができるようで、XSSが可能です。HttpOnlyはどのようにあなたをより安全にしますか?クッキーを本質的に読み取り専用にすることによって?
あなたの例では、私はあなたに書き込むことはできませんがdocument.cookie、それでもあなたのクッキーを盗み、XMLHttpRequestオブジェクトを使用して私のドメインに投稿することはできます。
編集4:申し訳ありませんが、XMLHttpRequestをStackOverflowドメインに送信し、getAllResponseHeaders()の結果を文字列に保存し、Cookieを正規表現して、外部ドメインに投稿できることを意味しました。ウィキペディアとha.ckersはこれについて私に同意しているようですが、私は再教育されたいと思っています...
最終編集:ああ、どうやら両方のサイトが間違っているようです。これは実際にはFireFoxのバグです。IE6と7は、実際には現在HttpOnlyを完全にサポートしている唯一のブラウザーです。
私が学んだすべてを繰り返すために:
- HttpOnlyは、IE7およびFireFoxのdocument.cookieへのすべてのアクセスを制限します(他のブラウザーについては不明)
- HttpOnlyは、IE7のXMLHttpObject.getAllResponseHeaders()の応答ヘッダーからCookie情報を削除します。
- XMLHttpObjectsは、元のドメインにのみ送信できるため、Cookieのドメイン間の投稿はありません。
編集:この情報はおそらく最新ではありません。
java - tomcat / Java webappsでHttpOnly Cookieをどのように構成しますか?
Cookie の保護に関するJeff のブログ投稿: HttpOnlyを読んだ後。Web アプリケーションに HttpOnly Cookie を実装したいと考えています。
セッションに http のみの Cookie を使用するように tomcat に指示するにはどうすればよいですか?
asp.net - ASP.NET で httpOnlyCookies をどのように正確に構成しますか?
この CodingHorror の記事「Cookie の保護: HttpOnly」に触発されました。
このプロパティをどのように設定しますか? Web構成のどこかに?
php - PHPでHttpOnlyCookieを使用するように設定するにはどうすればよいですか
PHP apps自分のCookieをとして設定するにはどうすればよいHttpOnly cookiesですか?
security - ASP Classic で httpOnly Cookie をどのように構成しますか?
従来の ASP クラシック サイトに httpOnly を実装しようとしています。誰でもそれを行う方法を知っていますか?
ruby-on-rails - Rails 2.1 でセッション Cookie に HttpOnly を設定するにはどうすればよいですか?
Rails 2.2 (現在はエッジ)がセッション cookie で HttpOnly の設定をサポートしていることに気付きました。
エッジ/2.2に移行せずにRails 2.1アプリケーションで設定する方法はありますか?
.net - ASP.NET セッション Cookie を Java アプレットと共有する
フォーム認証された aspx ページ内で実行される Java アプレットがあります。私のサイトの .NET 1.1 バージョンでは、アプレットはセッション Cookie にアクセスでき、サーバーからファイルを取得できますが、.NET 2.0 バージョンでは認証に失敗します。
2.0 はデフォルトで Cookie を HttpOnly に設定すると述べているフォーラムの投稿を他の場所でいくつか見ましたが、これまでのところ、与えられた解決策はうまくいきませんでした。また、2.0がユーザーエージェントに基づいて差別している可能性があることもどこかで読みました。
誰かがこれについて経験や洞察を持っていますか?
security - HttpOnly Cookie をサポートするブラウザはどれですか?
HttpOnly Cookie をサポートしているブラウザーはどれですか? また、それ以降のバージョンは?
HttpOnly Cookie と XSS 防止の説明については、http://www.codinghorror.com/blog/archives/001167.htmlを参照してください。
cookies - JRun/ColdFusionを使用してHttpOnlyCookieを強制する
CF7サイトのすべてのCookieがHttpOnlyとして設定されていることを確認する必要があります。
セッションを制御するためにjsessionidを使用していますが、JRunはこれをHttpOnlyとして作成しません。
既存のCookieを変更してこの設定を追加することは可能ですが、最初からHttpOnlyに設定する必要があります。
助言がありますか?
関連する質問:HTTPSCookieのセキュアフラグを設定します。