Функция PHP setcookie, начиная с версии 5.2 поддерживает параметр httponly, который позволяет запретить клиентским скриптам читать значение данной cookie. В комментарии на странице http://ru2.php.net/setcookie написано, что данная возможность поддерживается не всеми браузерами.
Возможность полезная, защищает от хищения куки через паразитный JS. Хочется узнать какими браузерами поддерживается.
cookie, недоступные для Javascript?
1 апреля 2008, 22:47
Автор: rgbeast
|
|
burВ Internet Explorer начиная с 6-ой версии заявлена поддежка httpOnly-кук:http://msdn2.microsoft.com/en-us/library/ms533046.aspx Собственно они первые, кто взялся за реализацию этой безусловно полезной фичи. Опера обещает кроссплатформенную поддержку этих кук начиная с версии 9.5: http://www.opera.com/docs/changelogs/windows/950b1/index.dml Мозилла пока молчит. Вывод: httpOnly-куки применять безусловно нужно, особенно в механизмах авторизации. Частью браузеров они уже поддерживаются, причем большей, т.к ИЕ - это не менее 80% рынка браузеров. В остальных обозревателях они должны вести себя, как обычные куки (хотя это требует тестирования). И не обязательно использовать PHP5.2. если я всё правильно понял, то дописывать httpOnly в куки можно руками. Fastcoder.org — портал для JavaScrpt-программистов
|
01.04.2008, 23:19 Ответить |
|
NO USERPIC
|
rgbeastА как именно дописывать httpOnly, описан ли где-нибудь этот стандарт? |
01.04.2008, 23:33 Ответить |
|
|
burSet-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnlyНе оно? :-) См. ссылку в MSDN выше. Fastcoder.org — портал для JavaScrpt-программистов
|
01.04.2008, 23:44 Ответить |
|
NO USERPIC
|
rgbeastНам проще поставить на сервер php 5.2, чем реализовывать функцию setcookie(), через функцию header(). Ошибка в собственной реализации может быть дополнительной причиной уязвимости. |
01.04.2008, 23:47 Ответить |
© 2007—2012 webew.ru, связаться: x собака webew.ru
Сайт использует Flede и соответствует стандартам WAI-WCAG 1.0 на уровне A.
Сайт использует Flede и соответствует стандартам WAI-WCAG 1.0 на уровне A.
