¿Es inseguro configurar las cookies de inicio de sesión en JavaScript?

3

Me enfrento a una limitación en un sistema backend que solo puede establecer una única cookie a través del encabezado Set-Cookie que el front-end utiliza para hacer una llamada AJAX para iniciar sesión en el usuario. El sistema de autenticación requiere múltiples cookies. establece no solo uno.

Si se supone que esta limitación no se puede solucionar: ¿es seguro enviar las cookies de autenticación como parte de la respuesta JSON a la solicitud de inicio de sesión, es decir, como una cadena de texto? El front-end JavaScript tomaría estos datos y establecería las cookies requeridas en el navegador de los usuarios. Tanto la llamada AJAX como la página en la que se realiza la llamada serán HTTPS.

    
pregunta Sutty1000 09.05.2016 - 14:20
fuente

1 respuesta

4

Esta es una forma menos segura de configurar cookies, ya que no puede configurar la bandera HttpOnly en tus cookies. Esto significa que las cookies se pueden leer con Javascript, y esto es particularmente un problema si el sitio web tiene una vulnerabilidad XSS. En ese caso, el atacante puede leer directamente sus cookies y hacerse cargo de su sesión.

    
respondido por el Sjoerd 09.05.2016 - 14:24
fuente

Lea otras preguntas en las etiquetas