È accettabile che i programmi utente modificino i cookie se non tramite istruzioni dal server?

Question

È accettabile che i programmi utente modificino i cookie se non tramite istruzioni dal server?

#1 da (2 voti)

2

Utilizzando javascript o in un'app nativa per iOS è possibile leggere e modificare i cookie.

Generalmente il server li imposta, ma se sia il server che il client modificano i valori, diventa uno stato mutabile globale condiviso tra i sistemi.

Questo sembra male.

Nella RFC non menziona i programmi utente che modificano i cookie se non da regole predefinite (ad esempio scadenza del cookie di Honoring). Dice anche nel riassunto sui cookie:

… These header fields can be used by HTTP servers to store state at HTTP user agents

Tuttavia, in realtà non proibisce o consiglia esplicitamente ai clienti di modificare i cookie.

È accettabile modificare i cookie su un utente?
Ci sono riferimenti o linee guida su questo argomento?

http cookies

posta Robert 15.02.2016 - 20:04

fonte

1 risposta

Leggi altre domande sui tag http cookies

GitHub con TFS ALM Applicazione Web che utilizza solo API REST

score 2 · Accepted Answer

Ecco un modo per pensarci:

È impossibile per il server impostare direttamente un cookie. Il server invia un'intestazione HTTP, che dice al client di impostare un cookie. È lo stesso per JavaScript o per la modifica manuale, perché è assunto che se il client può modificare il cookie, il server non può lamentarsi (a meno che la richiesta non sia dannosa).

La legge dell'UE conferisce esplicitamente al cliente il diritto di rifiutare i cookie.

HTTP è senza stato e il cookie non fa parte del protocollo stesso . Non è come se il server debba restituire un codice di stato appropriato.

Forse non capisco completamente la tua domanda, ma perché è importante? È comunque una pratica comune e accettata. cerca su Google" modifica cookie " non restituisce nulla contro di esso.

Da Wikipedia :

Although cookies are usually set by the web server, they can also be set by the client using a scripting language such as JavaScript (provided the cookie's HttpOnly flag is not set).

Quindi salta un po ':

HttpOnly cookie

HttpOnly cookies can only be used when transmitted via HTTP (or HTTPS). They are not accessible through non-HTTP APIs such as JavaScript. This restriction eliminates the threat of cookie theft via cross-site scripting (XSS), while leaving the threats of cross-site tracing (XCT) and cross-site request forgery (CSRF) intact.

Pertanto, possiamo dedurre che la domanda appropriata non è se è accettabile, ma se noi può .