HttpSolo alla pagina di disconnessione [chiuso]

0

Innanzitutto, non è possibile accedere al mio sito Web senza una sessione stabilita. Dopo aver stabilito una sessione, il server imposterà i cookie. Tuttavia, se valuto il sito Web senza una sessione, il mio sito visualizzerà una pagina di disconnessione. In questo caso, il server deve impostare HttpOnly o il flag di sicurezza nella risposta?

Grazie

    
posta Pang Ser Lark 23.04.2015 - 05:12
fonte

1 risposta

2

Devi sempre impostare il cookie come HTTPOnly se il tuo cookie contiene informazioni sensibili (come informazioni personali, informazioni relative alla sessione, identificatore di sessione ecc.). Questo impedisce a JavaScript di accedere a questo cookie in caso di un bug XSS nel tuo sito web.

Per quanto riguarda il flag di sicurezza, è necessario impostare l'attributo del cookie SECURE se i client comunicano con il server su HTTPS. Ciò impedisce al client di inviare il cookie su comunicazioni non HTTPS.

    
risposta data 23.04.2015 - 08:28
fonte

Leggi altre domande sui tag