8
如果我已經爲我的應用程序服務器設置了SSL,是否仍然需要爲Cookie設置HttpOnly?當SSL已經設置時,HttpOnly是否必要?
A
回答
14
是的。這兩個標誌無關彼此(均是安全/隱私選項,雖然)
「安全」是指該cookie將只能通過加密的連接
「的HttpOnly」方式發送這個cookie對於Javascript來說不可見
例如,您仍然可以在HTTPS頁面上使用XSS(然後邪惡的腳本可能會吃掉您的cookie)。
相關問題
- 1. 爲經典ASP會話Cookie設置HTTPONLY
- 2. 當設備到主機'cudaMemcpy'時,我是否必須設置適當的設備?
- 3. 當已經檢索到實例變量時,是否必須使用objectWithID?
- 4. 當我調用addEventListener時,是否必須設置removeEventListener?
- 5. 當在Kotlin中創建一個接口時,如果屬性已經設置了,那麼它是否重要?
- 6. 是否必須使用SSL?
- 7. yii cookies設置httpOnly
- 8. PHP:如何檢查是否已經啓動了var?當var已被設置爲NULL時,isset返回false
- 9. 當我爲UL設置背景圖像時,爲什麼當子元素已經設置了這些元素時,我必須設置寬度和高度?
- 10. 檢查環境變量是否已經設置
- 11. Javascript - 可以檢查一個間隔是否已經設置?
- 12. Owin Middleware是否支持在HttpOnly Cookie中設置JWT令牌?
- 13. _mmServerScripts是否必要?
- 14. KillTimer是否必要?
- 15. HttpOnly cookie - 無法設置
- 16. 我可以檢查一個上下文是否已經超時設置?
- 17. autoconf設置-fPIC只在必要時
- 18. 在Python中設置方法,它們是否有必要?
- 19. 的boost ::綁定,這已經是必然
- 20. 當magic_quotes_gpc打開時,是否有必要使用mysql_real_escape_string()?
- 21. 是否已經`setup.cfg`棄用?
- 22. 是否已經死亡?
- 23. Oauth是否需要SSL?
- 24. 啓用Tomcat服務器SSL是否有必要?
- 25. Vorlon.js是要求Socket.io,但它的配置已經被設置爲包括socket.io
- 26. 當我更改關聯時,是否必須手動設置外鍵屬性?
- 27. 我是否必須等待某個網站才能生效才能設置SSL?
- 28. HTTPS已經配置好用於我的Elastic Beanstalk環境了,是否有必要使用Express來使用HTTPS?
- 29. 設計師是否也必須知道Drupal是否已經開發人員知道?
- 30. 如何檢查LogWriter是否已設置?
HttpOnly旨在防止XSS攻擊。它與SSL無關。 – 2011-12-23 03:11:19
@Marc B htt **ly **不**防止xss攻擊,不要傳播。 XSS仍然是非常可以利用的,看看sammy蠕蟲。 – rook 2011-12-23 17:31:20