webew
Войти » Регистрация
 
JavaScript

cookie, недоступные для Javascript?

1 апреля 2008, 22:47
Автор: rgbeast
Функция PHP setcookie, начиная с версии 5.2 поддерживает параметр httponly, который позволяет запретить клиентским скриптам читать значение данной cookie. В комментарии на странице http://ru2.php.net/setcookie написано, что данная возможность поддерживается не всеми браузерами.

Возможность полезная, защищает от хищения куки через паразитный JS. Хочется узнать какими браузерами поддерживается.
Добавить комментарий
Отображение комментариев: Древовидное | Плоское

bur

В Internet Explorer начиная с 6-ой версии заявлена поддежка httpOnly-кук:
http://msdn2.microsoft.com/en-us/library/ms533046.aspx
Собственно они первые, кто взялся за реализацию этой безусловно полезной фичи.

Опера обещает кроссплатформенную поддержку этих кук начиная с версии 9.5:
http://www.opera.com/docs/changelogs/windows/950b1/index.dml

Мозилла пока молчит.

Вывод: httpOnly-куки применять безусловно нужно, особенно в механизмах авторизации. Частью браузеров они уже
поддерживаются, причем большей, т.к ИЕ - это не менее 80% рынка браузеров.
В остальных обозревателях они должны вести себя, как обычные куки (хотя это требует тестирования).

И не обязательно использовать PHP5.2. если я всё правильно понял, то дописывать httpOnly в куки можно руками.
01.04.2008, 23:19
Ответить
NO USERPIC

rgbeast

А как именно дописывать httpOnly, описан ли где-нибудь этот стандарт?
01.04.2008, 23:33
Ответить

bur

Set-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly

Не оно? :-)

См. ссылку в MSDN выше.
01.04.2008, 23:44
Ответить
NO USERPIC

rgbeast

Нам проще поставить на сервер php 5.2, чем реализовывать функцию setcookie(), через функцию header(). Ошибка в собственной реализации может быть дополнительной причиной уязвимости.
01.04.2008, 23:47
Ответить
© 2008—2024 webew.ru, связаться: x собака webew.ru
Сайт использует Flede и соответствует стандартам WAI-WCAG 1.0 на уровне A.
Rambler's Top100

Реклама: