Mentre stavo leggendo la sessione articolo di riparazione su OWASP , stavo pensando che l'unico modo per il mio server rifiutare un cookie impostato da uno script canaglia sarebbe per il mio server sapere che il browser ha inviato una richiesta senza il flag Solo HTTP. Solo i cookie inviati al server non includono nulla più del nome del cookie e il suo valore ... Tutti i metadati sono persi.
Ciò che ha spinto questa domanda sono i loro esempi # 2 e # 3 in cui mostrano URL che assomigliano a questo:
http://website.kom/<script>document.cookie=”sessionid=abcd”;</script>
http://website.kon/<meta http-equiv=Set-Cookie content=”sessionid=abcd”>
Personalmente, non capisco come possa funzionare anche lontanamente. Ci sono browser o server che sono guasti? Perché un tag nell'URL dovrebbe essere accettato dal browser o dal server?!
Quindi penso che sapere che il browser avesse il cookie come HTTP-Only sarebbe utile, ma al momento non riesco a capire come un hacker possa impostare un cookie (che non sarebbe HTTP-Only) assumendo che non sia possibile violazione del mio codice server.
Immagino che l'unico modo in cui possa funzionare è se l'hacker dovesse trovare un XSS nel mio codice client o server. Sarebbe corretto?