問題タブ [httponly]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

264 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
0 に答える
372 参照

cookies - リダイレクト前に HTTPOnly Cookie が保存されない

現在、ログインの詳細を含む POST 要求を Python サーバーに送信する HTML ページがあります。Python サーバーはログインを確認し、ヘッダーを介して Cookie を送り返します (私は Python ライブラリに組み込まれている Cookie クラスを使用しています)。200 OK ステータスを取得したらすぐにリダイレクトしたい。問題は、Cookie が十分に迅速に設定されていないため、Cookie が設定される前にリダイレクトが発生し、check_login ページにログインしていないことが表示されることです。

ブラウザに HTTPOnly Cookie を保存させたい。XMLHttpRequest API に、Cookie が保存された後にリダイレクトできるもの、または別の方法がありますか?

ありがとう!

HTTPRequest コード:

このリクエストは、ボタンをクリックすることで呼び出されます。このボタンが表示されているページに戻ってもう一度クリックすると、最初のクリックで Cookie が設定されているため、常にログインしたままになります。

0 投票する
3 に答える
22554 参照

cookies - Tomcat 7 sessionid cookie は http のみを無効にし、安全です

Tomcat 7 サーバーで実行されている Web アプリケーションがあります。セッション ID を持つ Cookie には、デフォルトでフラグHttpOnlySecure. JSESSIONIDCookieのこのフラグを無効にしたい。しかし、それはうまくいきません。web.xmlファイルでこれを変更しましたが、機能していません。

攻撃者が xss の脆弱性を見つけた場合、Cookie を盗んでセッションを乗っ取ることができるため、これがセキュリティ リスクであることはわかっています。

Cookie は、JSESSIONIDHTTP と HTTPS、および AJAX 要求で送信する必要があります。

編集:

次のオプションをファイルHttpOnlyに追加して、フラグを無効にしました。conf/context.xml

0 投票する
1 に答える
770 参照

php - コードを調べずにHTTPOnlyがphpに設定されているかどうかを検出するにはどうすればよいですか?

マシンに xampp サーバーがインストールされています。(php v5.3) ウェブサイトを載せました。phpで書かれています。Cookie(PHPSESSIONID)で動作します。ソースコードは暗号化されています。この Web サイトのソース コードで HTTPOnly フィールドが設定されているかどうかを知る方法はありますか? 問題は、サーバーが php.ini の HTTPOnly の値をオーバーライドすることです。

0 投票する
2 に答える
4280 参照

asp.net - Asp.NET Web アプリケーションでセッション識別子が更新されない

最近、ASP.NET アプリケーションの 1 つでセキュリティ スキャン (IBM AppScan) が行われ、次のような中程度の脆弱性が報告されました。

セッション ID が更新されていません
重大度: 中
リスク: 顧客のセッションと Cookie を盗んだり操作したりする可能性があります。これは正当なユーザーになりすますために使用される可能性があり、ハッカーがユーザー レコードを表示または変更したり、そのユーザーとしてトランザクションを実行したりできる
原因:安全でない Web アプリケーションのプログラミングまたは構成。

そして、ASP.NET 用のツールによる修正案は次のとおりです。

セッション ID Cookie の新しい値を生成しない ASP などのプラットフォームでは、セカンダリ Cookie を使用します。このアプローチでは、ユーザーのブラウザーのセカンダリ Cookie をランダムな値に設定し、セッション変数を同じ値に設定します。セッション変数と Cookie 値が一致しない場合は、セッションを無効にし、ユーザーに再度ログオンを強制します。

アプリケーションに SSL 証明書をインストールし、すべての Cookie (セッション、認証、AntiForgeryToken) がセキュア (RequireSSL="True")-HttpOnly であることを確認しまし

ここでの私の質問は、SSL 証明書とトラフィックが Https を使用していても、セッションをハイジャックすることは可能ですか? そして、私はすでにセカンダリ Secure-Httponly Cookie(AntiForgeryToken) を使用しているので、アプリケーションをより安全にするために他に何をしなければなりませんか?

0 投票する
1 に答える
1518 参照

cookies - java.net.ProtocolException: 不正な Set-Cookie ヘッダー

参照用のコード ブロックを以下に示します。

ここで、応答にアクセスしているときに、例外を下回っています。

これは、キーと値のペアの形式ではないため、Cookie ヘッダーの Httponly ビットが原因のようです。応答の読み取り中に Cookie ヘッダーまたは Cookie チェックを回避する方法はありますか? 助けてください。

前もって感謝します。


12345678910