¿Obligatorio para implementar HTTP Solo si las cookies seguras de Java están configuradas como "verdaderas"?

Question

¿Obligatorio para implementar HTTP Solo si las cookies seguras de Java están configuradas como "verdaderas"?

#1 de apsillers (5 votos)

2

Aquí hay un caso de prueba de una reciente evaluación de seguridad de la aplicación que he experimentado:

cookie = new Cookie(strKey1, EncryptDecrypt.encrypt(strValue));
cookie.setMaxAge(-1); 
cookie.setDomain(COOKIE_NEW_DOMAIN);
cookie.setPath("/");
cookie.setSecure(true); // for secure cookie by java
response.addCookie(cookie);

Aunque 'setSecure' está establecido en verdadero, ¿esto evita ataques contra ataques a la aplicación a través de XSRF / CSRF / See-Surf o XSS / CSS o HTTPOnly tiene que estar en los encabezados HTTP? o ambos?

http audit xss cookies csrf

pregunta Shritam Bhowmick 03.04.2015 - 03:29

fuente

1 respuesta

Lea otras preguntas en las etiquetas http audit xss cookies csrf

Pregunta del enrutador - Reglas de reenvío de puertos agregadas automáticamente ¿Qué tan seguro es VirtualBox para la privacidad / anonimato? [cerrado]

score 5 · Answer 1

HTTPOnly no permite que la cookie sea leída por JavaScript a través de document.coookie .

El indicador de seguridad restringirá la cookie a HTTPS, pero si su sitio tiene una vulnerabilidad XSS, HTTPS no lo protegerá. La URL XSS https://example.com?q=<script>alert(document.cookie)</script> funciona tan bien como http://example.com?q=<script>alert(document.cookie)</script> . Solo el indicador HTTPOnly no permitirá el acceso de script a la cookie.