我可以看到HttpOnlycookie对安全性有好处,但是它们使在没有服务器交互的情况下退出是不可能的,对吧?1所以当网络出现故障时,你无法登出离开。我可以想象一个解决方法,但我想先问
- 处理这个案子有意义吗
- 有什么标准的解决方案吗?
1 假设您实际使用它们。
问问题
4560 次
1 回答
37
如果注销是指删除会话 cookie,那么不,您不能从 Javascript 中删除 HttpOnly cookie。但是,很容易设置两个cookie,一个是 HttpOnly,一个是不安全的,这样只有两者的组合才是有效的会话密钥。删除任何一个 cookie 都会破坏会话。
如果您的服务很敏感,那么处理所有现实威胁场景确实很有意义,而这个场景非常现实。
设置两个 cookie,其中之一是 HttpOnly,实际上在标准 CSRF 预防技术中很常见。我没有在您的特定场景中看到它,但它与反 CSRF 案例非常相似,并且看起来像是一般 twoo-cookies 想法的明显且简单的应用。
于 2014-04-12T20:19:34.787 回答