当服务器将 HttpOnly 和 Secure 标志设置为 True 时,如何从客户端 (Qooxdoo) 获取 Cookie?

【问题标题】:How To Get Cookie from Client Side (Qooxdoo) when Server set HttpOnly and Secure flags to True?当服务器将 HttpOnly 和 Secure 标志设置为 True 时,如何从客户端 (Qooxdoo) 获取 Cookie?
【发布时间】:2018-07-19 02:27:44
【问题描述】:

我有一个关于在 Qooxdoo 中使用 Cookie 的问题。目前我的企业应用程序使用 qooxdoo 作为客户端,我们使用 Cookie 来存储服务器发送的本地化信息。我们收到了 HttpOnly 和 Secure 标志的易受攻击报告,因此我们启用了 from 服务器。结果,cookie被客户端隐藏了,我们使用了qx.bom.Cookie.get(),但是这个函数不再起作用了,因为cookie现在被隐藏了。所以,我的问题是,当服务器将 HttpOnly 和 Secure 标志设置为 True 时,是否有任何获取 cookie 的方法?如果是的话,你能指导一下吗?提前致谢。

谢谢
Khoa Tran

【问题讨论】:

    标签: qooxdoo


    【解决方案1】:

    根据设计,当 cookie 出现标志 HttpOnly 时,JavaScript 的 Document.cookie API 将无法访问。这样做是为了防止跨站点脚本 (XSS) 攻击。

    通过对 cookie 使用 Secure 标志,您仅通过加密请求 (HTTPS) 通知浏览器该 cookie 的服务器;因此,即使网络中某处发生 MITM,攻击者也更难以访问此 cookie。

    有关 httponly 和安全标志的更多信息here

    为了能够读取本地化设置,您应该将信息拆分为多个 cookie。您应该将有关会话管理的信息存储在一个安全的 httponly cookie(可能是某种令牌)中,并将其余信息存储在另一个具有个性化设置的 cookie(没有 httponly 标志)中。

    【讨论】:

    • 你说得对,斯泰利奥斯。非常感谢您指出这个解决方案,我已将会话管理和 cookie 分离到不同的 cookie 中,现在它可以工作了。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2019-11-26
    • 1970-01-01
    • 2013-04-10
    • 1970-01-01
    • 2022-01-07
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode