पढ़ना this blog post about HttpOnly cookies मुझे सोचना शुरू कर दिया, क्या यह किसी भी प्रकार के कुकी के लिए एक्सएसएस के किसी भी रूप से प्राप्त किया जा सकता है? जेफ का उल्लेख है कि यह "बार को काफी बढ़ाता है" लेकिन यह ध्वनि बनाता है जैसे कि यह पूरी तरह से एक्सएसएस के खिलाफ सुरक्षा नहीं करता है।क्या एक्सएसएस हमले के लिए केवल कुकीज़ प्राप्त करने के लिए यह संभव है?
इस तथ्य के अलावा कि सभी ब्राउज़र इस सुविधा का सही ढंग से समर्थन नहीं करते हैं, तो एक हैकर उपयोगकर्ता की कुकीज़ कैसे प्राप्त कर सकता है अगर वे केवल हैं?
मैं किसी भी तरह से कुकी को किसी अन्य साइट पर भेजने या स्क्रिप्ट द्वारा पढ़ने के लिए किसी भी तरह से नहीं सोच सकता, इसलिए ऐसा लगता है कि यह एक सुरक्षित सुरक्षा सुविधा है, लेकिन मैं हमेशा आश्चर्यचकित हूं कि कुछ लोग कितनी आसानी से कई सुरक्षा परतों के आसपास काम कर सकते हैं।
पर्यावरण में मैं काम करता हूं, हम आईई का विशेष रूप से उपयोग करते हैं ताकि अन्य ब्राउज़र चिंता न करें। मैं विशेष रूप से अन्य तरीकों से देख रहा हूं कि यह एक ऐसा मुद्दा बन सकता है जो ब्राउज़र विशिष्ट त्रुटियों पर भरोसा न करें।
पैकेट स्नीफिंग कर सकता है, लेकिन मेरे मामले में मैं एक डिजिटल सर्टिफिकेट के साथ एक HTTPS कनेक्शन का उपयोग कर रहा हूं, जो इसे पैकेट को सख्त करने में थोड़ा मुश्किल बनाता है। –