サイトのユーザーがコンソールからjavascriptでCookieにアクセスして変更することを許可することがセキュリティ上の問題であるかどうかは疑問でしたか?ユーザーにこれを許可することで、どんな害を及ぼすことができますか?状況によってはセキュリティ上の問題だと考えられますか?また、HttpOnly Cookieを使用すると、ユーザーはCookieを変更できなくなりますか?ユーザーがjavascriptを使ってクッキーにアクセスすることをセキュリティ上の問題
あなたは2つの異なるシナリオについて話している:
1)としてフラグが立てられている場合は、JavaScriptが
通常、JavaScriptがクッキーにアクセス(読み取りまたは書き込み)できないようにする理由は、ほとんどのサイトがサイト認証を処理するためにCookieを使用するためです。攻撃者がWebサイト上でCross-Site Scripting (XSS)の悪用を作成し、それを使用して認証Cookieの値を読み取り、攻撃者が制御するサーバーに送信します。
攻撃者がセッションCookieを持っている場合、攻撃者が犠牲者の認証Cookieの値を攻撃者セッションに挿入できる可能性があります(サイトのセキュリティによって異なります)。その後、ターゲットサイトに移動すると、それらは犠牲者として扱われ、犠牲者が行うことができるすべてのことを行うことができます。
XSSで行うことができるのはCookieを盗むことだけではなく、詳細はOWASPS - A3 Cross-Site Scripting write-upをご覧ください。彼らはHttpOnlyの
はいとしてフラグ付けされている場合
2)は、ユーザーがクッキーを変更することができます。ユーザーは、自分のマシン上にあるCookie、html、css、JavaScriptなどを変更することができます。そのため、シークレットをクライアントのコンピュータに保存しないでください。クライアント/ユーザのコンピュータからの値は、有効であることが証明されるまで信頼できないものとみなす必要があります。
セキュリティ上の問題ではありません。実際には、クッキーがユーザーによって保存されるため、これを防ぐことは不可能です。 – afuous