8
यदि मैं पहले से ही अपने एप्लिकेशन सर्वर के लिए एसएसएल सेट करता हूं, तो क्या मुझे अभी भी कुकीज़ के लिए केवल सेट सेट करने की आवश्यकता है?क्या एचटीपी केवल तभी जरूरी है जब एसएसएल पहले से सेट हो?
A
उत्तर
14
हां। दो झंडे एक दूसरे के साथ कुछ नहीं करना (दोनों सुरक्षा/गोपनीयता विकल्प है, हालांकि कर रहे हैं)
"सुरक्षित" का अर्थ है कि कुकी केवल एन्क्रिप्टेड कनेक्शन
"केवल Http" का अर्थ है पर भेज दिया जाएगा उस कुकी जावास्क्रिप्ट
को नहीं दिखाई देंगे तुम अब भी (उदाहरण के लिए और फिर एक बुराई स्क्रिप्ट अपने कुकी खा सकता) एक HTTPS पृष्ठ पर XSS हो सकता था,।
+0
जैसा कि मैं समझता हूं, यहां कुकी चोरी करने का उद्देश्य सत्र अपहरण के लिए है। अगर एसएसएल सक्षम है, तो सत्र अपहरण संभव नहीं है? (क्या मैं यहां सही हूं?) – ysp80
+0
एक्सएसएस के साथ, आप सत्र कुकी पढ़ने के लिए दुर्भावनापूर्ण जावास्क्रिप्ट हो सकते हैं। फिर आप उसे किसी अन्य सर्वर पर भेज सकते हैं (उदाहरण के लिए यूआरएल में कुकी वैल्यू के साथ एक छिपी हुई छवि टैग बनाकर) और सत्र को हाइजैक करें। – Thilo
+0
लेकिन एसएसएल पहले ही सक्षम होने पर सत्र को हाइजैक करना संभव है? – ysp80
संबंधित मुद्दे
- 1. केवल तभी सेट करें जब टैब सक्रिय हो
- 2. ब्रॉडकास्ट के लिए रजिस्टर रिसीवर केवल तभी पंजीकृत है जब यह पहले से पंजीकृत नहीं है?
- 3. MongoDB: $ addToSet/$ पुश दस्तावेज़ केवल तभी होता है जब यह पहले से मौजूद नहीं है
- 4. केवल तभी लॉकिंग जब संपूर्ण विधि बनाम
- 5. केवल तभी सत्य लौटें जब रूबी
- 6. हाई मेमोरी उपयोग केवल तभी जब मल्टीप्रोसेसिंग
- 7. रुपयेynyn cronjob जो केवल तभी चलाएगा जब rsync पहले से चल रहा है
- 8. केवल तभी शामिल करें जब फ़ाइल मौजूद है
- 9. क्या कोई पंक्ति डालना संभव है लेकिन केवल तभी जब कोई मान पहले से मौजूद नहीं है?
- 10. IValidalidableObject.Validate केवल तभी कहा जाता है जब संपत्ति सत्यापन पास हो जाता है?
- 11. जेनकिन्स केवल तभी निर्माण करें जब कोई अन्य निर्माण सफल हो गया हो?
- 12. मुझे त्रुटि क्यों मिलती है "असुरक्षित कोड केवल तभी दिखाई दे सकता है जब/असुरक्षित हो"?
- 13. एचटीपी केवल एएसपी.NET_SessionId कुकी के लिए सेट कैसे हो सकता है?
- 14. jQuery, लोडिंग पृष्ठ div केवल तभी प्रदर्शित करें जब पेज
- 15. IEquatables कार्यान्वयन केवल तभी कहा जाता है जब आधार बराबर ओवरराइड किया गया हो
- 16. फ्लुएंट एनएचबेर्नेट - डेटाबेस स्कीमा केवल तभी बनाएं जब मौजूदा
- 17. सनस्पॉट इंडेक्स केवल तभी जब खोज योग्य फ़ील्ड
- 18. JQuery चेकबॉक्स का मान केवल तभी प्राप्त करें जब
- 19. कोई व्यक्ति वेब साइट को केवल तभी सुलभ कर सकता है जब किसी के पास डोंगल हो?
- 20. फ़ाइल पहले से मौजूद नहीं हो सकती है जब फ़ाइल पहले से मौजूद है
- 21. जावास्क्रिप्ट विंडो.ऑपेन केवल तभी यदि विंडो पहले से मौजूद नहीं है
- 22. जेडीबीसी: क्या 'con.rollback()' केवल तभी प्रभावी होता है जब'con.commit` सफल न हो?
- 23. स्क्रॉलबार केवल तभी दिखते हैं जब एक div पर आच्छादित हो?
- 24. ext js एप्लिकेशन को आलसी रूप से एक तृतीय पक्ष लाइब्रेरी जोड़ें (केवल तभी होता है जब यह आवश्यक हो)
- 25. स्क्रॉल UITableView केवल तभी जब सामग्री फिट नहीं होती
- 26. नियमित अभिव्यक्ति: केवल तभी मिलान करना जब विशेष अनुक्रम में समाप्त न हो
- 27. mysql केवल तभी दृश्य बनाएं यदि यह पहले से मौजूद नहीं है
- 28. क्या मैं अपने रेड्यूसर (प्रतिलिपि चरण) को केवल तभी शुरू कर सकता हूं जब सभी मैपर पूरा हो जाएं
- 29. सीएसएस चयनकर्ता केवल तभी काम करता है जब <tag> में सामग्री</tag>
- 30. Supress सबमिट करें सबमिट करें/सबमिट बटन केवल तभी सक्षम है जब जावास्क्रिप्ट अक्षम है
एचटीपी केवल एक्सएसएस हमलों को रोकने के लिए है। एसएसएल के साथ इसका कोई लेना-देना नहीं है। –
@Marc B httponly ** नहीं ** xss हमलों को रोकता है, इसे फैलाएं नहीं। एक्सएसएस अभी भी बहुत शोषक है, सैमी कीड़े को देखो। – rook