未分類
31 12 月 2020

请教前端安全问题:前端 Cookie 设置 httpOnly=true 禁止 JS 读取就绝对安全吗

请教前端安全问题:前端 Cookie 设置 httpOnly=true 禁止 JS 读取就绝对安全吗

資深大佬 : bojue 4

设置 httpOnly 是不是就可以在前端防止 Cookie 泄露,防御伪造请求( CSRF )安全问题。

网上查阅的资料,在一些浏览器的旧版本上,虽然支持 httpOnly=true 时禁止读取 Cookie,但是没有预防 Cookie 的写入,可以通过重写 Cookie 覆盖 httpOnly = true 的安全设置[未尝试]。

在现代浏览器环境,是否存在其他方式导致在前端泄露 Cookie

大佬有話說 (8)

  • 資深大佬 : Mitt

    只要不被中间人,JS 投毒就很安全

  • 資深大佬 : momocraft

    考虑一下想 csrf 的人的视角

    必须泄露才能使用吗? js 不能读取等于 js 不能使用吗?

  • 資深大佬 : bojue

    @Mitt 也就是说 httpOnly 也不安全,通过代理之类的方案可以获取绕开 httpOnly 的设置

  • 資深大佬 : bojue

    @momocraft 你这个角度很棒,比如胖客户端导致认证信息泄露,引发 csrf 。

    但是我现在不能确定 httpOnly 到底能不作为 csrf 的一个方案,确保 cookie 不被获取

  • 資深大佬 : liuxey

    HttpOnly 能防止 XSS 攻击,但并不能解决 CSRF 问题,防御 CSRF 常用的方法是隐藏表单域存 CSRF token

  • 資深大佬 : bojue

    @liuxey 谢谢,是我搞错了跨站脚本和请求伪造的概念

  • 資深大佬 : YouLMAO

    httpOnly 禁止 js 读, 不禁止发给服务器, 不预防 CSRF, 而预防 xss

  • 資深大佬 : wunonglin

    答:在现代浏览器环境,还存在打开控制台导致在前端泄露 Cookie