使用HttpOnly cookie注销

时间:2014-03-24 15:15:11

标签: web-services session cookies httponly cookie-httponly

我可以看到HttpOnly cookie是good for security,但是他们在没有服务器交互的情况下进行注销,对吗? 1 所以当网络出现故障时,你不能退出并离开。我可以想象一个解决方法,但我想先问一下

  • 处理此案件是否有意义
  • 对此有什么标准解决方案吗?

1假设您实际使用它们。

1 个答案:

答案 0 :(得分:16)

如果通过注销你的意思是删除会话cookie,那么不,你不能从Javascript中删除HttpOnly cookie。但是,设置两个 cookie,一个HttpOnly和一个不安全的cookie很容易,这样只有两者的组合才是有效的会话密钥。删除任一cookie都会破坏会话。

如果您的服务很敏感,那么处理所有真实的威胁情景确实很有意义,而且这个非常现实。

设置两个cookie,其中一个是HttpOnly,实际上在标准CSRF预防技术中很常见。我没有在你的特定场景中看到它,但它与反CSRF案例非常相似,看起来像是一般的双语饼干理念的明显和简单的应用。