La cookie de sesión HttpOnly se establece después de que la respuesta inicial del servidor se muestre como vulnerable

2

¿Se establece una cookie de sesión sin HttpOnly al principio, pero se agrega antes de que el navegador del cliente termine de mostrarse, todavía se considera vulnerable? La prueba del escáner que necesito para satisfacer lo cree así, pero ¿es esto un falso positivo?

    
pregunta tuson 20.07.2013 - 08:28
fuente

1 respuesta

1

Esto es fácil de probar. Una vez que el navegador termine de procesarse, abra la consola de JavaScript e intente esto:

alert(document.cookie)

Si no puede acceder a la ID de sesión utilizando el terminal, entonces un atacante no puede acceder a él utilizando XSS.

    
respondido por el rook 20.07.2013 - 08:35
fuente

Lea otras preguntas en las etiquetas