0
是否有可能在JavaScript中禁用設置Cookie,同時能夠讀取它們? 在我的網站中,我只在php中設置了cookie,但是我可以從Javascript讀取它們會很有用。 我知道在創建cookie時有一個httpOnly標誌,但是這限制了對Javascript的讀寫訪問。 我想限制寫入權限的原因當然是安全的,因爲用戶甚至可以從瀏覽器輕鬆設置cookie,並且我想要阻止它。啓用對Javascript中的只讀訪問權限
A
回答
2
最短答案:不可以。
0
你可以做的是創建兩個cookie:
MY_COOKIE_HTTP_ONLY
MY_COOKIE
隨着後端相同的值。一個是隻有http,另一個不是。 MY_COOKIE_HTTP_ONLY cookie將用於後端,MY_COOKIE將在瀏覽器中使用。如果攻擊者在瀏覽器端更改MY_COOKIE的值,那麼基本上可以,因爲如果攻擊者可以訪問瀏覽器,他們可以做各種事情,但只能在瀏覽器端進行。
另一方面,您將能夠通過比較這些值來識別這種情況。
相關問題
- 1. CouchDB範圍的只讀訪問權限
- 2. 更改具有隻讀訪問權限的PFObject ACL權限
- 3. AWS IAM授予用戶只讀特定VPC的訪問權限
- 4. 在AlwaysOn環境中設置Crystal Report的只讀訪問權限
- 5. 的JavaScript ExtJS的 - 訪問使用權限
- 6. 爲了啓用對XACML PDP的訪問而設置的權限
- 7. 與只讀權限
- 8. 使用gitolite限制git repo中的讀取訪問權限
- 9. 只有域名的訪問權限
- 10. 在PHP服務器上提供對svn checkout的HTTP只讀訪問權限?
- 11. 權限訪問
- 12. 訪問權限
- 13. 如何返回對返回變量的只讀訪問權限或對其進行寫入訪問?
- 14. 由於只讀權限,PHP無法訪問文件
- 15. IIS權限訪問讀/寫數據庫
- 16. 在Subversion中啓用對父目錄的讀取權限
- 17. 記錄對SVN的讀取訪問權限?
- 18. 在JavaScript對象文字中獲得設置訪問權限
- 19. SQL Server只讀權限
- 20. Team Foundation Server只讀權限
- 21. 授予只讀權限
- 22. 具有隻讀權限
- 23. 對AWS EC2的SSH訪問權限 - 拒絕權限
- 24. JavaScript權限被拒絕訪問屬性
- 25. 用戶訪問權限
- 26. 具有不同訪問權限的類別:只讀許可權限,可寫入特權
- 27. SELECT對SQL 2005視圖的訪問權限對底層表的限制訪問
- 28. 權限訪問sys.dm_db_index_usage_stats
- 29. PDP訪問權限限制
- 30. 如何爲使用java的文件設置只讀訪問權限
「*用戶可以輕鬆設置cookie *」 - 無論您的服務器告訴他什麼,他都可以做到這一點。即使只有httpOnly cookies。不要相信客戶端,每個請求都是可欺騙的。 – Bergi
這是真的,但我想盡量減少風險。無論如何,要實現「記住我」功能並不容易,所以我去了cookie。並要求提供該功能。任何其他建議? :) –
你想盡量減少風險?建議:只需使用cookie。 – Bergi