Ho implementato la gestione delle sessioni HTTPOnly basata sui cookie e ho alcune domande su cosa HTTP .
Mi rendo conto che è una bandiera che viene passata nell'intestazione HTTP quando si impostano i cookie. Mi rendo anche conto che la maggior parte dei browser rifiuta di consentire la modifica di tali cookie tramite lo scripting lato client.
L'idea, se ho capito bene, è che Mr Example sfoglia una pagina compromessa, il suo browser IE9 o qualsiasi altra cosa rifiuterà qualsiasi tentativo di furto di cookie dallo script seminato.
Tuttavia, visto che il cookie è memorizzato sul lato client, la flag HTTPOnly effettiva significa poco per chiunque sia determinato giusto? Se è memorizzato sul lato client, sicuramente il client può trovare un modo per modificare i contenuti al di fuori di una richiesta HTTP legittima?
In tal caso, ho ragione nel sostenere che HTTPOnly non protegge da modifiche non HTTP dal client stesso, ma piuttosto modifica tramite script malevoli eseguiti su un client abbastanza moderno? Ad esempio, non bloccare la modifica potenzialmente dannosa dei cookie da parte del client di per sé , ma inconsapevolmente modifiche specifiche?