Как файлы cookie HttpOnly работают с запросами AJAX?

Да, файлы cookie только для HTTP подходят для этой функции. Им по-прежнему будет предоставлен запрос XmlHttpRequest к серверу.

В случае переполнения стека файлы cookie автоматически предоставляются как часть запроса XmlHttpRequest. Я не знаю деталей реализации поставщика аутентификации Stack Overflow, но эти данные cookie, вероятно, автоматически используются для проверки вашей личности на более низком уровне, чем метод контроллера «голосования».

В более общем плане файлы cookie не требуются для AJAX. Поддержка XmlHttpRequest (или даже удаленного взаимодействия iframe в старых браузерах) - это все, что требуется технически.

Однако, если вы хотите обеспечить безопасность для функций с поддержкой AJAX, применяются те же правила, что и для традиционных сайтов. Вам нужен какой-то метод для идентификации пользователя, стоящего за каждым запросом, и файлы cookie почти всегда являются средством для этого.

В вашем примере я не могу писать в ваш document.cookie, но я все еще могу украсть ваш файл cookie и опубликовать его в своем домене с помощью объекта XMLHttpRequest.

XmlHttpRequest не будет выполнять междоменные запросы (именно по тем причинам, о которых вы говорите).

Обычно вы можете внедрить скрипт для отправки cookie в свой домен с помощью удаленного взаимодействия iframe или JSONP, но тогда HTTP-Only снова защищает cookie, поскольку он недоступен.

Если вы не взломали StackOverflow.com на стороне сервера, вы не сможете украсть мой файл cookie.

Изменить 2: Вопрос 2. Если целью Http-Only является предотвращение доступа JavaScript к файлам cookie, и вы по-прежнему можете получать файлы cookie через JavaScript через объект XmlHttpRequest, в чем смысл Http-Only?

Рассмотрим этот сценарий:

• Я нахожу способ внедрить код JavaScript на страницу.
• Джефф загружает страницу, и мой вредоносный JavaScript изменяет его cookie в соответствии с моим.
• Джефф дает звездный ответ на ваш вопрос.
• Поскольку он отправляет его с моими данными cookie вместо своих, ответ станет моим.
• Вы голосуете за "мой" звездный ответ.
• Моя реальная учетная запись получает суть.

При использовании файлов cookie только для HTTP второй шаг был бы невозможен, что привело бы к поражению моей попытки XSS.

Изменить 4: Извините, я имел в виду, что вы можете отправить XMLHttpRequest в домен StackOverflow, а затем сохранить результат getAllResponseHeaders () в строку, вывести файл cookie с помощью регулярного выражения и затем отправить его во внешний домен. Похоже, что Википедия и хакеры согласны со мной в этом, но я бы хотел перевоспитаться ...

Это правильно. Таким образом вы все еще можете перехватить сеанс. Тем не менее, это значительно сокращает количество людей, которые могут успешно выполнить даже этот XSS-взлом против вас.

Однако, если вы вернетесь к моему примеру сценария, вы увидите, где HTTP-Only действительно успешно отсекает XSS-атаки, которые полагаются на изменение файлов cookie клиента (не редкость).

Все сводится к тому, что а) ни одно улучшение не устранит все уязвимости и б) ни одна система не будет когда-либо полностью защищенной. Только HTTP - полезный инструмент защиты от XSS.

Точно так же, даже если междоменное ограничение на XmlHttpRequest не на 100% успешно предотвращает все эксплойты XSS, вы все равно никогда не мечтаете об удалении ограничения.

Да, это приемлемый вариант для сайта на основе Ajax. Куки-файлы аутентификации не предназначены для манипуляции сценариями, они просто включаются браузером во все HTTP-запросы, отправляемые на сервер.

Сценариям не нужно беспокоиться о том, что сообщает файл cookie сеанса - до тех пор, пока вы аутентифицированы, любые запросы к серверу, инициированные пользователем или сценарием, будут включать соответствующие файлы cookie. Тот факт, что сценарии не могут сами узнать содержимое файлов cookie, не имеет значения.

Для любых файлов cookie, которые используются для целей, отличных от аутентификации, они могут быть установлены без флага только HTTP, если вы хотите, чтобы сценарий мог их изменять или читать. Вы можете выбрать, какие файлы cookie должны быть только HTTP, поэтому, например, все нечувствительное, например настройки пользовательского интерфейса (порядок сортировки, сворачивание левой панели или нет), может использоваться в файлах cookie со сценариями.

Мне очень нравятся файлы cookie только для HTTP - это одно из тех проприетарных расширений браузера, которое было действительно отличной идеей.

Не обязательно, это зависит от того, что вы хотите делать. Не могли бы вы немного уточнить? AJAX не нуждается в доступе к файлам cookie для работы, он может самостоятельно делать запросы для извлечения информации, запрос страницы, который делает вызов AJAX, может получить доступ к данным cookie и передать их обратно в вызывающий скрипт без прямого доступа Javascript к печенье

Есть еще кое-что.

Ajax не требует строго файлов cookie, но они могут быть полезны, как упоминалось в других плакатах. Пометка файла cookie только для HTTP, чтобы скрыть его от скриптов, работает только частично, потому что не все браузеры поддерживают его, но также потому, что существуют общие обходные пути.

Странно, что заголовки XMLHTTPresponse предоставляют cookie, технически серверу не нужно возвращать cookie с ответом. После того, как он установлен на клиенте, он остается установленным до истечения срока его действия. Хотя существуют схемы, в которых cookie изменяется при каждом запросе, чтобы предотвратить повторное использование. Таким образом, вы можете избежать этого обходного пути, изменив сервер, чтобы он не предоставлял cookie в ответах XMLHTTP.

В целом, я считаю, что HTTPOnly следует использовать с некоторой осторожностью. Существуют атаки с использованием межсайтовых сценариев, когда злоумышленник организует для пользователя отправку ajax-подобного запроса, исходящего с другого сайта, с использованием простых почтовых форм без использования XMLHTTP, а все еще активный файл cookie вашего браузера будет аутентифицировать запрос.

Если вы хотите быть уверены, что запрос AJAX аутентифицирован, сам запрос И заголовки HTTP должны содержать cookie. Например, с помощью скриптов или уникальных скрытых входов. HTTPOnly может этому помешать.

Обычно интересной причиной использования HTTPOnly является предотвращение кражи файлов cookie сторонним контентом, включенным на вашу веб-страницу. Но есть много интересных причин, чтобы с осторожностью относиться к включению стороннего контента и агрессивно фильтровать его.

Файлы cookie автоматически обрабатываются браузером, когда вы выполняете вызов AJAX, поэтому вашему Javascript не нужно возиться с файлами cookie.

Поэтому я предполагаю, что JavaScript требуется доступ к вашим файлам cookie.

Все HTTP-запросы от вашего браузера передают информацию о ваших файлах cookie для соответствующего сайта. JavaScript может как устанавливать, так и читать файлы cookie. Файлы cookie по определению не требуются для приложений Ajax, но они необходимы большинству веб-приложений для поддержания состояния пользователя.

Официальный ответ на ваш вопрос в формулировке - «Нужен ли JavaScript доступ к файлам cookie, если используется AJAX?» - поэтому "нет". Подумайте, например, о полях расширенного поиска, которые используют запросы Ajax для предоставления параметров автоматического предложения. В этом случае информация о файлах cookie не требуется.

В качестве пояснения - с точки зрения сервера страница, запрашиваемая запросом AJAX, по существу не отличается от стандартного HTTP-запроса на получение, выполняемого пользователем, нажимающим на ссылку. На сервер передаются все обычные свойства запроса: user-agent, ip, session, cookies и т. Д.

Нет, страница, которую запрашивает вызов AJAX, также имеет доступ к файлам cookie, и это то, что проверяет, вошли ли вы в систему.

Вы можете выполнить другую аутентификацию с помощью Javascript, но я бы не стал ему доверять, я всегда предпочитаю помещать какие-либо проверки аутентификации в серверную часть.

Да, файлы cookie очень полезны для Ajax.

Помещение аутентификации в URL-адрес запроса - плохая практика. На прошлой неделе была новость о получении токенов аутентификации в URL-адресах из кеша Google.

Нет, предотвратить атаки невозможно. Старые браузеры по-прежнему разрешают простой доступ к файлам cookie через javascript. Вы можете обойти только http и т. Д. Все, что вы придумали, можно обойти, приложив достаточно усилий. Уловка состоит в том, чтобы приложить слишком много усилий, чтобы оно того стоило.

Если вы хотите сделать свой сайт более безопасным (идеальной защиты нет), вы можете использовать cookie аутентификации, срок действия которого истекает. Затем, если файл cookie украден, злоумышленник должен использовать его до истечения срока его действия. Если они этого не делают, значит, у вас есть хороший признак подозрительной активности в этой учетной записи. Чем короче временное окно, тем лучше для безопасности, но тем большую нагрузку на ваш сервер создает и поддерживает ключи.