1
아직 많은 사이트가있어, 설명 할 수없는 이유 때문에 Javascript를 사용하여 쿠키를 조작 할 수는 있지만 실제로 발생할 수있는 모든 XSS에 비추어이를 허용하는 좋은 이유는 없습니다. 왜 브라우저는 여전히 이것을 허용합니까? 왜 JS가 쿠키를 보지 못하게합니까?브라우저에서 여전히 자바 스크립트가 쿠키를 볼 수 있도록 허용합니까?
A
답변
4
이 질문은 "브라우저가 여전히 HTML, 그 오래된 것을 지원하는 이유는 무엇입니까?"라고 말하는 것과 비슷하다는 것을 인정해야합니다. 이전 버전과의 호환성은 큰 문제이며 쿠키를 조작하는 모든 기존 자바 스크립트 코드를 잘라내는 것은 재앙입니다.
즉, 쿠키의 javascript 조작이 교차 사이트 통신 및 기타 등등에 유용한 경우도 있습니다.
4
이렇게하면 AJAX 요청을하지 않고 쿠키에서 환경 설정을 직접 설정하고 서버 측의 session/user_profile에 저장할 수 있습니다. 이것은 세션이 만료되었을 때 환경 설정을보기 위해 등록 할 필요가 없으므로 웹 사이트와 서버 측을 다시 방문 할 때 유지하고 싶은 일부 UI 환경 설정에 유용합니다.
+0
쿠키없이 세션을 어떻게 구현합니까? URL 매개 변수 사용? 그건 쿠키보다 더 나쁜거야. –
+0
+1. username = sean & password = 1234의 쿠키는 웹 개발자 입장에서 보면 어리 석다. 그러나 hide_tips = true를 가진 쿠키는 어쨌든 무해합니다. – seanmonstar
0
서버 측에서 httponly 쿠키를 설정할 수 있으며 자바 스크립트에서는 쿠키를 볼 수 없습니다. 그것은 당신이 원하는 효과를 줄 것입니다.
가끔은 클라이언트에서 사용되는 경우에도 브라우저가 모든 요청에서 쿠키를 서버로 전송한다는 점에서 자바 스크립트의 작은 양의 클라이언트 측 데이터를 저장하기 위해 쿠키를 사용합니다. 측면.
+0
그러나 모든 브라우저가 HTTPOnly 쿠키를 인식하지는 못합니다. 그리고 그들이 이해하더라도, 그들 중 일부는 버그가 있습니다. –
+0
XMLHttpReponse 해킹의 브라우저 지원/상태 표 : http://www.owasp.org/index.php/HTTPOnly#Browsers_Supporting_HTTPOnly XSS 공격에 대한 쿠키를 포기하는 브라우저의 수가 100 % 이상인 경우가 여전히 _BETTER_ 이상입니다. – russau
6
그리고 명확히 할 수 있습니다. 쿠키를 조작하는 JavaScript는 합리적이고 합당합니다. 자체적으로 XSS 문제가 발생하지 않습니다. 잘못 작성된 사이트가 있습니다.
관련 문제
- 1. 모든 브라우저에서 볼 수 있도록 PDF 변환
- 2. 브라우저에서 자바 스크립트가 캐시되지 않도록하십시오.
- 3. 누구든지 내 자바 스크립트가 잘못된 것을 볼 수 있습니까?
- 4. 브라우저에서 PHP 스크립트가 실행되지 않습니다.
- 5. JSF2의 ajax에서 요소를 볼 수 있도록
- 6. 자바 스크립트를 다시로드하는 자바 스크립트가 비활성화되어 있습니다.
- 7. 사용자가 도메인을 웹 기반 응용 프로그램으로 지정할 수 있도록 허용합니까?
- 8. 아이폰 기본 SDK는 아이폰이 앱을 실행할 수 있도록 허용합니까?
- 9. 내 브라우저에서 asp.net 페이지를 볼 수 없습니다.
- 10. 확장 프로그램이없는 브라우저에서 이미지를 볼 수 있습니다.
- 11. 브라우저에서 현재 페이지를 볼 수 있습니까? (가능합니까?)
- 12. clickbank hoplink 쿠키를 읽으려면 PHP 또는 자바 스크립트가 필요합니까?
- 13. 자바 스크립트가 소켓 요청을받을 수 있습니까?
- 14. 기존 쿠키를 보내지 않지만 여전히 쿠키를 허용하지 마십시오.
- 15. 모든 (대부분의) 브라우저에서 자바 스크립트가 활성화되어 있는지 확인하십시오.
- 16. 브라우저에서 쿠키를 설정하지 않고도 ASPX 페이지를 제공 할 수 있습니까?
- 17. 컴퓨터의 모든 브라우저에서 세션에 액세스 할 수 있도록 설정하는 방법
- 18. 자바 스크립트가 브라우저에서 생성되지 않고 화면에 코드를 인쇄합니다.
- 19. 브라우저에서 CSS 및 자바 스크립트 변경 사항을 볼 수있게하려면 어떻게해야합니까?
- 20. Jquery 스크립트가 Firefox가 아닌 브라우저에서 작동하지 않습니까?
- 21. Access 2007 및 Sharepoint - 웹 브라우저에서 볼 수 있습니까?
- 22. 어떻게 쿠키를 자바 스크립트의 전체 도메인에서 액세스 할 수 있도록 설정합니까?
- 23. 자바 스크립트의 일부가 브라우저에서 잘릴 수 있습니다.
- 24. 자바 스크립트를 사용하여 브라우저 쿠키를 삭제하려면 어떻게해야합니까?
- 25. ASP.NET MVC 세션이 여전히 브라우저에서 활성화되었습니다. 닫기
- 26. 자바 스크립트가 작동을위한 값을 얻을 수 없습니다.
- 27. 자바 스크립트가 프록시를 통과합니다.
- 28. 가상 머신에서 mongrel_rails (localhost : 3000)를 볼 수 있도록
- 29. drupal : 하나의 contentType 만 볼 수 있도록 사용자를 제한하는 방법
- 30. mod_python이 장고를 볼 수 있도록 .htaccess에서 sys.path를 어떻게 수정합니까?
기본 기능이기 때문에. 방해가된다면 NoScript를 사용하십시오. – voyager
그것은 나에 관한 것이 아니라, 처음부터 다시 작성하고자하는 거대한 유지 보수가 불가능한 코드베이스에서 XSS 익스플로잇에 의해 쿠키를 얻은 사용자에 관한 것이지만 금지되어 있습니다. :) – dirtside
http://www.codinghorror.com/blog/archives/001167.html HTTP 만 쿠키가 멋지다 ... – russau