私のアプリケーションサーバーにSSLをすでに設定している場合は、Cookie用にHttpOnlyを設定する必要がありますか?SSLがすでに設定されている場合、HttpOnlyは必要ですか?
8
A
答えて
14
はい。 2つのフラグが(両方ともいえ、セキュリティ/プライバシーオプション、です)
「セキュアは、」クッキーは暗号化された接続のみ
「HttpOnlyの」手段を介して送信されることを意味お互いに何の関係もありませんクッキーはJavascript
に表示されないことをあなたはまだ(たとえば、その後、悪のスクリプトは、あなたのクッキーを食べることができる)、HTTPSページにXSSを持つことができます。
関連する問題
- 1. TSL/SSLが必要な場所にピップが設定されています
- 2. Javaアプレットは、IISがSSLを要求するように設定されている場合にのみ認証が必要です。
- 3. プロビジョニングプロファイルが「自動」に設定されている場合は、更新する必要がありますか?
- 4. 検証が '設定されていない場合(sys.argv)'が必要なのはなぜですか?
- 5. IISのSSL設定が無視または承認のみに設定されている場合、SSLはまだ安全ですか?
- 6. イメージが返された場合は、cvReleaseImageが必要ですか?
- 7. apnsにはsslが必要ですか?
- 8. SSLがサイトに設定されている場合にサードパーティにフォームを送信するには
- 9. アプリケーションでhttponlyが設定されているかどうかを確認するには
- 10. asEagerSingletonとバインドされている場合、@ Singtonが必要ですか?
- 11. HttpWebResponseでHttpOnly Cookieにアクセスする必要があります
- 12. minAPIを21に設定した場合、AppCompatが必要ですか?
- 13. Zend Form:必須オプションがtrueに設定されている場合、要素のクラスを必須に自動的に設定する方法は?
- 14. 高さ制約が設定されていない場合は重要ですか?
- 15. ボタンの値がチェックされている場合、js insert mysqlが必要です。
- 16. Bindserviceでenableがtrueに設定されている必要があります
- 17. Woocommerceのチェックアウトフィールドは、表示されている場合にのみ必要です
- 18. 証明書を提供する必要がない場合に、SSL接続のTcpNetClientConnectionFactoryを設定する正しい方法は何ですか?
- 19. web.xmlで 'HttpOnly'と 'Secure'を設定する
- 20. ifステートメントがtrueに評価されない場合(必要な場合でも)
- 21. 要素の多重度が指定されていない場合は必須ですか?
- 22. EventWaitHandleを持っている場合はロックが必要です
- 23. 設定がRequireJSで設定されている場合、RequireJSを使用してモジュールを設定する
- 24. 別のセルに特定の値が設定されている場合、Excelで列に入力する必要がありますか?
- 25. Pycurl SSLセッションIDがSSLキーで提供されていない場合
- 26. SCCM必要なSQL Server照合が既に設定されている
- 27. ナビゲーションコントローラーが設定されている場合、ルートビューコントローラーは常にtableViewControllerとして設定されます
- 28. grafanaでは、テンプレートをすべてのダッシュボードで使用できるように設定する必要がある場合、どうすればよいですか?
- 29. WebApiでSSLが必要ですか?
- 30. IF関数、Excel - 列A1:A10が "合格"に設定されている場合、値をTrueに設定するにはどうすればよいですか?
HttpOnlyは、XSS攻撃を防止するためのものです。 SSLとは何の関係もありません。 –
@Marc B httponlyはxss攻撃を防止しません**、それを広げないでください。 XSSは依然として非常に悪用可能で、サミーのワームを見ます。 – rook