2011-09-20 2 views
1

사용자가 의견을 게시 할 수있는 웹 사이트가 있습니다. xss 구멍이 있으면 xHttprequest, Ajax 호출 등으로 httpOnly 일지라도 여전히 쿠키 데이터를 얻을 수 있는지 알고 싶습니다. 가능합니까?JS | Xss 방어 질문

+0

쿠키를 일반 텍스트로 작성할 수는 없으므로 정보가 공격자에게 유용하지 않습니다 – Einacio

답변

2

JavaScript로 HTTP 전용 쿠키를 검색 할 수 없습니다. 따라서 "HTTP-only".

+0

이론 상으로는 그렇습니다.하지만 공격이있었습니다. 예를 들어 http://www.karakas-online.de/forum/viewtopic.php?t=341 또는 https://www.owasp.org/index.php/Cross_Site_Tracing –

+0

출처 날짜 : 2003 년 및 2009 년을 참조하십시오. 현재 거의 모든 현대의 브라우저는'httpOnly' 쿠키를 올바르게 구현하고 있습니다. –

+0

하지만 Ajx 요청을 사용하여 쿠키 값을 포함하는 헤더를 가져올 수 있습니까? – funerr