我对在Qooxdoo中使用Cookie有疑问。当前,我的企业应用程序在客户端使用qooxdoo,并且我们使用Cookie存储从服务器发送的本地化。我们有一个针对HttpOnly和Secure标志的易受攻击的报告,因此我们启用了from服务器。结果,从客户端隐藏了cookie,我们使用了qx.bom.Cookie.get(),但是此函数不再起作用,因为cookie现在被隐藏了。所以,我的问题是,当服务器将HttpOnly和Secure标志设置为True时,是否有任何获取cookie的信息?如果是,请您指导一下吗?预先感谢。
谢谢
Khoa Tran
答案 0 :(得分:1)
根据设计,当Cookie的标志HttpOnly出现时,JavaScript的Document.cookie API无法访问。这样做是为了防止跨站点脚本(XSS)攻击。
通过对Cookie使用Secure标志,您可以仅通过加密请求(HTTPS)通知浏览器该Cookie服务器。因此,即使MITM发生在网络中的某处,攻击者也将更难访问此Cookie。
有关httponly和安全标志here
的更多信息为了能够读取本地化设置,您应该将信息分成多个cookie。您应该将有关会话管理的信息存储在安全的httponly cookie(可能是某种令牌)中,并将其余信息存储在另一个具有个性化设置的cookie(没有httponly标志)中。