Ho una domanda relativa al cookie HttpOnly. Tracciare altri thread non è stato di grande aiuto, quindi sto postando la mia domanda qui per sapere se puoi prevedere eventuali problemi con la mia comprensione.
Esiste un sito web, ad esempio www.example.com che imposta cookie in 2 fasi.
- Connessione tra Load Balancer e Client - LB_Cookie - crittografato
- Connessione tra client e server Web - ASP.NET_Session_Cookie - crittografato e amp; HttpOnly
Nell'esempio precedente, ASP.NET_Session_Cookie è HttpOnly (protetto dagli attacchi XSS) - questo è il cookie contenente le informazioni sulla sessione dell'utente. Tuttavia, per LB_Cookie il flag HttpOnly non è impostato. Mi chiedo se questo potrebbe essere un problema. Sulla base delle informazioni che ho ottenuto attraverso le risorse su Internet - i cookie "tutti" dovrebbero essere impostati su HttpOnly. Tuttavia, non riescono a spiegare cosa potrebbe andare storto se uno dei cookie (Load Balancer nel mio caso) non è HttpOnly.
Lo scopo di LB_Cookie è tale che il bilanciamento del carico può ricordare, quale server Web ha bisogno di inviare le richieste del client in entrata a. Non ci sono dati specifici dell'utente memorizzati su questo cookie. C'è qualcosa di sbagliato se non è HttpOnly? Capisco che potrebbe essere possibile rubare LB_Cookie ma anche se questo cookie viene rubato, non c'è molto che possa andare storto perché l'utente malintenzionato non sarà in grado di occuparsi della sessione dell'utente. Questa è la mia comprensione, e non sono in grado di immaginare uno scenario che potrebbe causare problemi quando LB_Cookie non è HttpOnly. Quindi, inserisco questi pensieri qui per la tua opinione.
