यदि मैं पहले से ही अपने एप्लिकेशन सर्वर के लिए एसएसएल सेट करता हूं, तो क्या मुझे अभी भी कुकीज़ के लिए केवल सेट सेट करने की आवश्यकता है?क्या एचटीपी केवल तभी जरूरी है जब एसएसएल पहले से सेट हो?
उत्तर
हां। दो झंडे एक दूसरे के साथ कुछ नहीं करना (दोनों सुरक्षा/गोपनीयता विकल्प है, हालांकि कर रहे हैं)
"सुरक्षित" का अर्थ है कि कुकी केवल एन्क्रिप्टेड कनेक्शन
"केवल Http" का अर्थ है पर भेज दिया जाएगा उस कुकी जावास्क्रिप्ट
को नहीं दिखाई देंगे तुम अब भी (उदाहरण के लिए और फिर एक बुराई स्क्रिप्ट अपने कुकी खा सकता) एक HTTPS पृष्ठ पर XSS हो सकता था,।
जैसा कि मैं समझता हूं, यहां कुकी चोरी करने का उद्देश्य सत्र अपहरण के लिए है। अगर एसएसएल सक्षम है, तो सत्र अपहरण संभव नहीं है? (क्या मैं यहां सही हूं?) – ysp80
एक्सएसएस के साथ, आप सत्र कुकी पढ़ने के लिए दुर्भावनापूर्ण जावास्क्रिप्ट हो सकते हैं। फिर आप उसे किसी अन्य सर्वर पर भेज सकते हैं (उदाहरण के लिए यूआरएल में कुकी वैल्यू के साथ एक छिपी हुई छवि टैग बनाकर) और सत्र को हाइजैक करें। – Thilo
लेकिन एसएसएल पहले ही सक्षम होने पर सत्र को हाइजैक करना संभव है? – ysp80
एचटीपी केवल एक्सएसएस हमलों को रोकने के लिए है। एसएसएल के साथ इसका कोई लेना-देना नहीं है। –
@Marc B httponly ** नहीं ** xss हमलों को रोकता है, इसे फैलाएं नहीं। एक्सएसएस अभी भी बहुत शोषक है, सैमी कीड़े को देखो। – rook