Ho un sito web scritto in nginx.conf
- link - che accetta essenzialmente due parametri, un sistema operativo e un nome di pagina manuale e reindirizza a un sito diverso in base ai parametri nell'URL.
Poiché l'intenzione è che il sito sia navigato e utilizzato direttamente dalla barra Location del browser, ogni personaggio conta e voglio rendere possibile un location
che imposti un cookie attraverso un normale % richiesta diGET
, in modo tale che ulteriori richieste di pagine manuali possano essere eseguite senza specificare un sistema operativo.
Tuttavia, mi sono reso conto che se impostassi incondizionatamente una preferenza / cookie in base a un parametro nell'URL, renderei il mio sito soggetto a XSS, poiché qualsiasi altra pagina Web potrebbe costruire un URL di impostazione dei cookie dannoso e caricarlo sullo sfondo, modificare i cookie per il mio sito e rompere il paradigma di sicurezza.
Qual è la soluzione? Non posso impostare i cookie in modo sicuro in una lingua come nginx.conf
che non contiene stato tra le richieste?