9
HttpOnly CookieはAJAXリクエストでどのように機能しますか?
Cookieに基づくアクセス制限があるサイトでAJAXが使用されている場合、JavaScriptはCookieにアクセスする必要があります。HttpOnly CookieはAJAXサイトで機能しますか? 編集:マイクロソフトは、HttpOnlyが指定されている場合にJavaScriptがCookieにアクセスできないようにすることで、XSS攻撃を防ぐ方法を作成しました。FireFoxは後でこれを採用しました。だから私の質問は:StackOverflowのようなサイトでAJAXを使用している場合、Http-Only Cookieはオプションですか? 編集2:質問2. HttpOnlyの目的がCookieへのJavaScriptアクセスを防ぐことであり、XmlHttpRequestオブジェクトを介してJavaScript経由でCookieを取得できる場合、HttpOnlyの目的は何ですか? 編集3:ウィキペディアからの引用です: ブラウザがこのようなCookieを受信すると、次のHTTP交換では通常どおりにそれを使用することになっていますが、クライアント側のスクリプトからは見えないようになっています。[32] このHttpOnlyフラグは標準の一部ではなく、すべてのブラウザーに実装されているわけではありません。現在、XMLHTTPRequestを介したセッションCookieの読み取りまたは書き込みは禁止されていないことに注意してください。[33]。 document.cookieHttpOnlyを使用するとブロックされることを理解しています。しかし、XMLHttpRequestオブジェクトのCookie値を読み取ることができ、XSSを許可できるようです。HttpOnlyはどのようにしてあなたをより安全にしますか?Cookieを本質的に読み取り専用にすることによって? あなたの例では、に書き込むことはできませんdocument.cookieが、それでもCookieを盗み、XMLHttpRequestオブジェクトを使用してドメインに投稿することができます。 <script type="text/javascript"> var req = null; try { req = new XMLHttpRequest(); } catch(e) {} if (!req) try { req = new ActiveXObject("Msxml2.XMLHTTP"); } catch(e) {} if (!req) try { req = new ActiveXObject("Microsoft.XMLHTTP"); } catch(e) {} req.open('GET', 'http://stackoverflow.com/', …