問題タブ [httponly]

私はこれが以前に尋ねられたことを知っていますが、私はいくつかの説明と確認が必要でした。クッキーを作成するときに、XSSを防ぐためにhttponlyを使用するように言われました。

したがって、httponlyを使用する場合、ajaxリクエストを介してアクセスされるphpスクリプトは、アクティブなphpセッション（デフォルト：phpssessid）を判別し、$ _ SESSION変数を取得できますか？

問題は、httponlyオプションを使用して設計しなかったため、そのオプションを追加するとスクリプトの設計に何らかの影響があるかどうかが心配です。

ありがとう！

CookieがPHPでhttponlyであるかどうかを確認する方法はありますか？

私のアプリケーションが HttpOnly Cookie をクライアントに置いた後、それらを削除する必要がある場合、どうすればそれらを完全に削除できますか?

こんにちは Web サイトが開発され、クライアントに展開されました。場合によっては、フラグを設定する必要がありHttpCookie.HttpOnly = trueます。わかりました - やりました。次の問題：

1. JavaScript でフラグを設定した後、Cookie を使用できますか?
2. または、JavaScript を使用している場合の制限はありますか?
3. それとも、既存の JavaScript を変更する必要がありますか?

jsession cookie の websphere に次のプロパティを設定しました com.ibm.ws.webcontainer.HTTPOnlyCookies。

Firefox または IE で JavaScript を使用してこれをテストする最善の方法はありますか?

セッションCookieを作成したいHttpOnly。この記事に基づいて、私はこれを私のapplication.ini：に追加しました

残念ながら、FirecookieでセッションCookieを見ると、指定したとおりにマークされていませんHttpOnly。どのステップが欠けていますか？

RailsセッションCookieはHttpOnlyデフォルトですが、remember_user_tokenDeviseのRememberableモジュールによって設定されたCookieはデフォルトではありません。

私が理解しているように、Cookieを送信すると、ユーザーに新しいセッションCookieが発行されるため、XSSに対しても同様に脆弱です。

それで、それをに設定する方法はありますHttpOnlyか？

これが全体像です

「HttpOnly」を JSESSIONID Cookie に追加したいのですが、これを手動で行いたいのです。つまり、次のことを意味します。

これは、すべてのサイトにマップされるサーブレット フィルターで行われます (フィルターの URL パターンは "/*" です)。

1. このフィルターを 1 回だけ実行するにはどうすればよいですか? つまり、ログイン時、または
2. リクエストごとに実行して、この Cookie が既にマークされているかどうかを確認し、答えが「はい」の場合はスキップする必要がありますか?

助言がありますか ？

PS:

1. サーブレット 3.0 にアップグレードするように言わないでください。今はできないからです。
2. StringBuilder の不適切な使用と変数 sessionId の欠落を無視する

だから私はApacheプロキシレイヤーでTomcatを使用するJava Webアプリケーションを持っています。アプリから設定されたすべての Cookie に httpOnly フラグを設定したいと考えています。これに関する問題は、Tomcat がアプリケーション側からフラグを設定する責任があり、そのデフォルト (サーブレット API 2.5) が false であることです。Apacheを使用してオンザフライですべてのCookieにこのフラグを設定できることを望んでいました。

私はさまざまな組み合わせを試してきましたが、私が得た最も近いものは、もちろん間違っている httpOnly に渡された最後の Cookie を設定することです:

アプリから渡される Cookie/値を知る方法がありません。これは可能ですか？

HttpOnlyフラグを有効にしてCookieを作成しようとしています。

Javaと.Netでそれを行う方法についてはたくさんのリソースがあるようですが、私はjavascriptでそれを行う必要があります。

これが私の（現在失敗している）関数です

ありがとう -