8
내 응용 프로그램 서버에 SSL을 이미 설정 한 경우에도 쿠키에 대해 HttpOnly를 설정해야합니까?SSL이 이미 설정된 경우 HttpOnly 필요합니까?
A
답변
14
예. 두 플래그 (모두는하지만 보안/개인 정보 보호 옵션이다)
"보안은"쿠키가 암호화 된 연결만을
"Http 만"수단을 통해 전송되는 것을 의미합니다 서로 아무 상관이 없다 쿠키는 자바 스크립트
에 표시되지 않습니다 것을 당신은 여전히 (예를 들어, 다음 악한 스크립트가 쿠키를 먹을 수)가 HTTPS 페이지에 XSS있을 수 있습니다.
HttpOnly은 XSS 공격을 막기위한 것입니다. SSL과 아무 관련이 없습니다. –
@Marc B httponly는 xss 공격을 막지 않으며 ** 확산시키지 않습니다. XSS는 여전히 매우 악용 될 수 있으며 새미 웜을 살펴 봅니다. – rook