Le librerie JavaScript di terze parti possono accedere alle intestazioni http della pagina html di hosting

2

Quindi, ho un sito Web, utilizza un cookie memorizzato nell'intestazione http del documento html scaricato per mantenere la sessione mentre l'utente finale è connesso e accede a tali dati "sicuri". Questa pagina Web include anche javascript forniti da terze parti che vengono utilizzati per scopi di marketing e di analisi. Qualcuno di questi javascript di terze parti può leggere le intestazioni http del documento HTTP di hosting?

    
posta Sean Bradley 17.08.2015 - 08:12
fonte

2 risposte

1

Come i commentatori ti hanno suggerito correttamente, dovrai usare HttpOnly fla come soluzione. Ma voglio solo aggiungere una nota riguardante i giusti commenti che hai ricevuto sulla Http Only flag.

Infatti, se un client del tuo sito web utilizza un browser Mozilla Firefox versione precedente alla 3.0.6 ( Bug 380418 : XMLHttpRequest consente di leggere i cookie HTTPOnly ) e / o il browser SeaMonkey della versione precedente alla 1.1.15 ( Rough Changelog per SeaMonkey 1.1.4 ) HttpOnly non sarà utile perché questo flag non sarà in grado di rimuovere le informazioni sui cookie dalle intestazioni di risposta in MLHttpObject.getAllResponseHeaders() .

Ulteriori informazioni .

    
risposta data 17.08.2015 - 18:07
fonte
0

Va anche notato che anche se gli script non possono vedere i cookie degli utenti (se si utilizza HttpOnly), possono comunque vedere l'intero DOM (contenuto della pagina web) e possono inviare richieste per conto dell'utente. Il browser includerà automaticamente i cookie con ogni richiesta al tuo server, anche se lo script che invia la richiesta non può vedere i cookie. Dal punto di vista del server, questo è identico all'utente che prende l'azione da solo.

Includere script di terze parti è pericoloso! Non farlo se non ti fidi sinceramente della fonte della sceneggiatura. Qualsiasi script di terze parti che includi nella tua pagina è, da un punto di vista della sicurezza, continuamente nella posizione di avere un exploit XSS (Cross-Site Scripting) di successo sui tuoi utenti ... e sta a loro decidere cosa farne.

Anche se la fonte dello script non agisce maliziosamente , possono comunque distruggere il tuo sito letteralmente per caso se c'è un errore nello script o in un server se ne va o qualcosa. Ad esempio, considera quella volta che Facebook ha interrotto il Web perché lo script che inserisce il loro pulsante Like su una pagina ha funzionato male.

Puoi mitigare questo rischio in qualche modo ospitando script tu stesso, ma a volte non è un'opzione, o talvolta lo script stesso estrae risorse esterne.

    
risposta data 16.09.2015 - 21:32
fonte

Leggi altre domande sui tag