問題タブ [httponly]

ログインにはJQueryAJAXを使用しています。ログインサービスはHTTP302を発行します。この場所は、ログインしているユーザーのGET、または（ログインが失敗した場合は）常に許可されていないHTTPステータスを返すRESTエンドポイントです。302と同時に、JSESSIONIDのセットCookieを発行します。CookieはHttpOnlyCookieです。

ストレートHTTPフォーム投稿を使用する場合、リダイレクトは正常に機能し、すべてが設定されます。JQuery AJAXを使用する場合、2回目の呼び出しでCookieが送信されないため、GET / user/{userId}へのリダイレクトは機能しません。この失敗した2番目の呼び出しは、認証に失敗したエンドポイントへのさらに別のリダイレクトをトリガーするはずですが、実際にはトリガーされません。調べてみると、2番目の呼び出しが「キャンセル」されていることがわかります。それはどういう意味ですか、そもそも問題を解決するにはどうすればよいですか？

サーバー側のJavaスクリプトアプリケーションを使用してレガシークラシックASPに取り組んでいます。このアプリケーションでは、CookieにHttpOnlyフラグを設定して、アプリケーションCookieをより安全にし、スクリプトからアクセスできないようにする必要があります。私は（以下に示すように）のようないくつかの方法を試しましたが、うまくいかないようです。可能であれば、コード例を使用して、サーバー側のスクリプトにJavaスクリプトを使用しているASPクラシックアプリケーションでHttpOnlyフラグを設定する方法を提案します。

私はすでに次のことを試みましたが失敗しました：

IIS6と7の両方をコーディングする必要があります。

助けてくれてありがとう。

こんにちは私は今のところhttponlyクッキーを使おうとしていますこれは私が書いたコードです

プリント

私はJBoss7を使用しており、web.xml構成に追加しましたが、何かが不足していると思います。

Flash または Java アプレットのいずれかを使用してファイルをサーバーにアップロードすることは可能ですか。ターゲット URL は何らかの形式の認証によって保護され、Cookie は「httpOnly」としてマークされます。httpOnly を無効にしたり、セッション ID を含めたりする必要はありません。ターゲット URL または POST の別のパラメータとして?

つまり、Uploadifyのようなものを使用して、セッション ID をターゲット URL に追加せずにサーバーに送信する方法はありますか (例: http://www.example.com:8080/mysite/upload;jsessionid=ABCDEF ) ) 、 Uploadify が実行する POST のパラメーターとして、または httpOnly フラグを無効にしますか?

参考までに、Java 1.6 と Glassfish 3.1 を使用しています。

調べてみましたが、それは不可能のようです。上記の 3 つのオプションのいずれかを選択する必要があります。

それを考えると、これらのオプションのどれが「最小の悪」ですか? あるいは、この状況に対処する方法について何らかのガイダンスがある場合は、それへのポインタをいただければ幸いです。

ファイルのアップロードに使用しているため、Flash/Java を使用しないわけにはいきません。また、ユーザーが一度に複数のファイルを選択できるようにする必要があります。飛ぶ。古いバージョンの IE をサポートする必要があるため、HTML5 への移行もうまくいきません。

ユーザーにアーカイブをアップロードするように依頼するのは難しいかもしれませんが、ユーザーの動作を変更する必要があり、現在クライアント側で行っている多くの検証が利用できないことを意味します。ファイルが大きく、リンクが遅い。繰り返しますが、まったく理想的ではありません。

CookieのHTTPOnly属性に関して少し混乱しています。その主な用途はXSS攻撃からの保護であると私は知っています。Cookieに対してhttponlyを有効に設定したWebアプリケーションがあると仮定します。これには、Fiddlerのような傍受プロキシを使用しました。ただし、以降のすべてのトランザクションでは、Cookieにhttponlyフラグが付随していません。これは一度設定するような機能であり、セッション全体がhttponlyフラグでカバーされています...またはこれは実装上の欠陥です。ただし、Cookie Managerアドオンを介して監視すると、プロパティにはhttponlyが有効になっていることが示されます。私の質問は、Cookieマネージャーが有効になっているのにインターセプトプロキシが表示されないのはなぜ有効なのか、これは通常の予想される動作なのか、間違った実装なのかということです。私が理解するのを手伝ってください。

django csrf cookie を http のみに設定することは可能ですか? SESSION_COOKIE_HTTPONLYセッション Cookie と同様ですが、csrf の場合は?

Chrome devtool の Cookie リソース パネルの Http 列のチェックマークは、HttpOnly Cookie を示していますか?

これを確認するドキュメントは見つかりませんが、そうであると思われます。アプリがセッション Cookie に HttpOnly を使用していることを確認しようとしています。

JavaScript を使用して HttpOnly Cookie にアクセスする方法を知っていますか。これらの Cookie のポイントは、(セキュリティ上の理由から) この方法では取得できないことです。しかし、それでも、これを達成する方法は絶対にありますか? 世界中の何人かのハッカーがこれを達成する方法を見つけていませんか? 私は実際にJavaScriptを介してこれらのCookieを取得する必要があります(他の手段ではありません)。方法が分かれば大変助かります。ありがとうございました。

診断ツールを準備中です。iframe 内の Web サイトで動作します - javascript のみです。

ここで必要なのは、iframe にある Web サイトのセッション Cookie を取り除くことです。いくつかの操作を実行した後、ログアウトする必要があります。

残念ながら、セッション Cookie は httpOnly フラグでマークされているため、javascript から削除することはできません。シークレット モードで iframe を開く方法も見つかりませんでした。

これを達成するためのルールは次のとおりです。

• 対象の Web サイト サーバーに任意のファイルを追加できます
• ウェブサイトのドメインで任意の JavaScript を実行できます
• ユーザーに特定のブラウザの使用を強制できます (クロスブラウザ ソリューションである必要はありません)。
• ウェブサイトのコードを変更できません
• ソリューションは、サーバーとプログラミング言語に依存しない必要があります

回避策のアイデアはありますか?

Ruby と Sinatra を使用してアプリケーションを開発しています。
私が使う

ラックが提供するセッション変数を使用するため。すべてのセッション Cookie を HTTPOnly にするにはどうすればよいですか? デフォルトでこうなの？これに関するドキュメントが見つかりません。