L'impostazione dei cookie di accesso in JavaScript non è sicura?

3

Sto affrontando una limitazione in un sistema back-end che può solo impostare un singolo cookie tramite l'intestazione Set-Cookie che il front-end utilizza per effettuare una chiamata AJAX per registrare l'utente. Il sistema di autenticazione richiede più cookie per essere imposta non solo quello.

Se si assume che questa limitazione non possa essere aggirata: è sicuro inviare i cookie di autenticazione come parte della risposta JSON alla richiesta di accesso, ad esempio una stringa di testo? Il front-end JavaScript prenderà quindi questi dati e imposterà i cookie richiesti nel browser degli utenti. Sia la chiamata AJAX sia la pagina su cui è effettuata la chiamata saranno HTTPS.

    
posta Sutty1000 09.05.2016 - 14:20
fonte

1 risposta

4

Questo è meno sicuro del normale modo di impostare i cookie perché non puoi impostare la HttpSolo flag sui tuoi cookie. Ciò significa che i cookie possono essere letti da Javascript e questo è particolarmente un problema se il sito Web presenta una vulnerabilità XSS. In tal caso, l'utente malintenzionato può leggere direttamente i cookie e prendere il controllo della sessione.

    
risposta data 09.05.2016 - 14:24
fonte

Leggi altre domande sui tag