Ist HttpOnly notwendig, wenn SSL bereits eingestellt ist?

8

Wenn ich SSL für meinen Anwendungsserver bereits eingerichtet habe, muss ich noch HttpOnly für die Cookies einstellen?

    
ysp80 23.12.2011, 03:05
quelle

1 Antwort

14

Ja. Die beiden Flags haben nichts miteinander zu tun (beides sind Sicherheitsoptionen / Datenschutzoptionen).

  • "Sicher" bedeutet, dass der Cookie nur über verschlüsselte Verbindungen gesendet wird

  • "HttpOnly" bedeutet, dass der Cookie für JavaScript nicht sichtbar ist

Sie könnten beispielsweise noch XSS auf einer HTTPS-Seite haben (und dann könnte ein böses Skript Ihren Cookie essen).

    
Thilo 23.12.2011, 03:17
quelle

Tags und Links

Django: Verwenden von Annotate, Count und Distinct in einem Queryset Wie integriert man ZXing api mit der Frontkamera in Android? [geschlossen]