サイトのユーザーがコンソールからjavascriptでCookieにアクセスして変更することを許可することがセキュリティ上の問題であるかどうかは疑問でしたか?ユーザーにこれを許可することで、どんな害を及ぼすことができますか?状況によってはセキュリティ上の問題だと考えられますか?また、HttpOnly Cookieを使用すると、ユーザーはCookieを変更できなくなりますか?ユーザーがjavascriptを使ってクッキーにアクセスすることをセキュリティ上の問題
0
A
答えて
1
あなたは2つの異なるシナリオについて話している:
- 彼らはJavaScriptができるようにHttpOnlyの
1)としてフラグが立てられている場合は、JavaScriptが
通常、JavaScriptがクッキーにアクセス(読み取りまたは書き込み)できないようにする理由は、ほとんどのサイトがサイト認証を処理するためにCookieを使用するためです。攻撃者がWebサイト上でCross-Site Scripting (XSS)の悪用を作成し、それを使用して認証Cookieの値を読み取り、攻撃者が制御するサーバーに送信します。
攻撃者がセッションCookieを持っている場合、攻撃者が犠牲者の認証Cookieの値を攻撃者セッションに挿入できる可能性があります(サイトのセキュリティによって異なります)。その後、ターゲットサイトに移動すると、それらは犠牲者として扱われ、犠牲者が行うことができるすべてのことを行うことができます。
XSSで行うことができるのはCookieを盗むことだけではなく、詳細はOWASPS - A3 Cross-Site Scripting write-upをご覧ください。彼らはHttpOnlyの
はいとしてフラグ付けされている場合
2)は、ユーザーがクッキーを変更することができます。ユーザーは、自分のマシン上にあるCookie、html、css、JavaScriptなどを変更することができます。そのため、シークレットをクライアントのコンピュータに保存しないでください。クライアント/ユーザのコンピュータからの値は、有効であることが証明されるまで信頼できないものとみなす必要があります。
関連する問題
- 1. JavaScriptのセキュリティ上の問題?
- 2. フラッシュ:高得点サイトにアクセスするとセキュリティ上の問題が発生する
- 3. JavaScriptセキュリティの問題
- 4. セキュリティ上の問題:クッキー内でのみHTTPセッションを維持する
- 5. c#ユーザーIDがブラウザに保存されているセキュリティ上の問題
- 6. Azureのセキュリティ上の問題
- 7. Jenkinsのセキュリティ上の問題
- 8. WCFのセキュリティ上の問題
- 9. セキュリティ上の問題、PHP/mysql
- 10. BreezeJS SaveChanges()セキュリティ上の問題
- 11. javascriptを使用したクッキーに関する問題
- 12. Temporary ASP.NET Filesフォルダへのユーザー書き込みのアクセス許可にセキュリティ上の問題がありますか?
- 13. javascriptのログイン使ってクッキー
- 14. クッキーを使ってdivを隠す問題
- 15. ユーザーのクッキーを使用してxmlにアクセスする
- 16. 問題クッキーを使用して(ジャバスクリプト)
- 17. PHPのReadfileメソッドのセキュリティ上の問題
- 18. JavascriptとAPIを使用してGoogle Analyticsデータにアクセスする際の問題
- 19. ストアドプロシージャ/ビューは同じサーバー上の別のデータベースにアクセスします(セキュリティの問題)
- 20. 奇妙なJavascript /クロスサイトのクッキーの問題
- 21. WPFアプリケーションのセキュリティ上の問題
- 22. Amazon Webサービス&Androidのセキュリティ上の問題
- 23. Javascriptクッキーを使ったスタイリング
- 24. ASP.netのセキュリティに関する質問 "Authorization"と ".ASPXAUTH"のクッキー
- 25. クッキーを使用する際に問題が発生する
- 26. javascriptを使って別のWebページにクッキーを送信する
- 27. クッキーを設定してクッキーの問題を修正する - PHP
- 28. Flex HTML Post Error - セキュリティ上の問題?
- 29. 電子メール - 「From」フィールド:セキュリティ上の問題
- 30. セキュリティ上の問題ASP.NET統合認証
セキュリティ上の問題ではありません。実際には、クッキーがユーザーによって保存されるため、これを防ぐことは不可能です。 – afuous