Obbligatorio implementare HTTPOnly se i Java Secure Cookies sono impostati su "true"?

Question

Obbligatorio implementare HTTPOnly se i Java Secure Cookies sono impostati su "true"?

#1 da (5 voti)

2

Ecco un caso di test da una recente valutazione della sicurezza delle applicazioni che ho riscontrato:

cookie = new Cookie(strKey1, EncryptDecrypt.encrypt(strValue));
cookie.setMaxAge(-1); 
cookie.setDomain(COOKIE_NEW_DOMAIN);
cookie.setPath("/");
cookie.setSecure(true); // for secure cookie by java
response.addCookie(cookie);

Sebbene "setSecure" sia impostato su true, questo impedisce di attaccare gli attacchi all'applicazione tramite XSRF / CSRF / See-Surf o XSS / CSS o HTTPOnly deve essere presente su intestazioni HTTP !? o entrambi?

http cookies audit xss csrf

posta Shritam Bhowmick 03.04.2015 - 03:29

fonte

1 risposta

Leggi altre domande sui tag http cookies audit xss csrf

È utile PGP o S / MIME quando entrambi i server sono auto-controllati? Anonimato anti-virus

score 5 · Answer 1

HTTPOnly non consente al cookie di essere letto da JavaScript tramite document.coookie .

Il flag di sicurezza limiterà il cookie a HTTPS, ma se il tuo sito ha una vulnerabilità XSS, HTTPS non ti proteggerà. L'URL XSS https://example.com?q=<script>alert(document.cookie)</script> funziona altrettanto bene di http://example.com?q=<script>alert(document.cookie)</script> . Solo il flag HTTPOnly impedirà l'accesso allo script al cookie.