คำถามติดแท็ก cookies

คุกกี้ HTTP เป็นข้อมูลที่จัดเก็บโดยเว็บเบราว์เซอร์ของผู้ใช้ เว้นแต่จะระบุไว้เป็นอย่างอื่นคุกกี้สามารถสร้างอ่านแก้ไขและลบทั้งโดย JavaScript และจากฝั่งเซิร์ฟเวอร์ผ่านส่วนหัว HTTP


4
ทำไมการใส่โทเค็นการป้องกัน CSRF ลงในคุกกี้จึงเป็นเรื่องปกติ
ฉันพยายามเข้าใจปัญหาทั้งหมดด้วย CSRF และวิธีที่เหมาะสมในการป้องกัน (ทรัพยากรที่ฉันได้อ่านทำความเข้าใจและเห็นด้วยกับ: OWASP CSRF ป้องกันแผ่นโกง , คำถามเกี่ยวกับ CSRF .) ตามที่ฉันเข้าใจแล้วช่องโหว่รอบ ๆ CSRF ถูกนำเสนอโดยการสันนิษฐานว่า (จากมุมมองของเว็บเซิร์ฟเวอร์) คุกกี้เซสชันที่ถูกต้องในคำขอ HTTP ขาเข้าที่สะท้อนถึงความต้องการของผู้ใช้ที่ผ่านการรับรองความถูกต้อง แต่คุกกี้ทั้งหมดสำหรับโดเมนต้นทางนั้นแนบมากับเบราว์เซอร์อย่างน่าอัศจรรย์ดังนั้นจริงๆแล้วเซิร์ฟเวอร์ทั้งหมดสามารถอนุมานจากการมีคุกกี้เซสชันที่ถูกต้องในคำขอคือคำขอนั้นมาจากเบราว์เซอร์ที่มีเซสชันที่มีการรับรองความถูกต้อง มันไม่สามารถคิดอะไรเกี่ยวกับรหัสได้อีกใช้งานในเบราว์เซอร์นั้นหรือไม่ว่ามันจะสะท้อนถึงความต้องการของผู้ใช้จริงหรือไม่ วิธีการป้องกันสิ่งนี้คือการรวมข้อมูลการรับรองความถูกต้องเพิ่มเติม ("โทเค็น CSRF") ในคำขอซึ่งดำเนินการด้วยวิธีการอื่นนอกเหนือจากการจัดการคุกกี้อัตโนมัติของเบราว์เซอร์ คุกกี้เซสชั่นรับรองความถูกต้องของผู้ใช้ / เบราว์เซอร์และโทเค็น CSRF รับรองความถูกต้องของรหัสที่ทำงานในเบราว์เซอร์ ดังนั้นหากคุณใช้คุกกี้เซสชันเพื่อตรวจสอบสิทธิ์ผู้ใช้แอปพลิเคชันเว็บของคุณคุณควรเพิ่มโทเค็น CSRF ในการตอบกลับแต่ละครั้งและต้องการโทเค็น CSRF ที่ตรงกันในแต่ละคำขอ (กลายพันธุ์) จากนั้นโทเค็น CSRF จะทำการส่งไปกลับจากเซิร์ฟเวอร์หนึ่งไปยังเบราว์เซอร์กลับไปที่เซิร์ฟเวอร์เพื่อพิสูจน์ว่าเซิร์ฟเวอร์ที่หน้านั้นร้องขอนั้นได้รับการอนุมัติจาก (สร้างโดย, แม้แต่) เซิร์ฟเวอร์นั้น ตามคำถามของฉันซึ่งเกี่ยวกับวิธีการขนส่งเฉพาะที่ใช้สำหรับโทเค็น CSRF นั้นในการไปกลับนั้น ดูเหมือนเป็นเรื่องธรรมดา (เช่นในAngularJS , Django , …
284 security  cookies  web  csrf  owasp 



22
ลบคุกกี้
เมื่อฉันต้องการลบคุกกี้ฉันลอง unset($_COOKIE['hello']); ฉันเห็นในเบราว์เซอร์คุกกี้จาก Firefox ที่ยังคงมีอยู่ ฉันจะลบคุกกี้ได้อย่างไร
260 php  cookies 


13
คุกกี้ข้ามโดเมน
ฉันมี webapps สอง WebApp1 และ WebApp2 ในสองโดเมนที่ต่างกัน ฉันกำลังตั้งค่าคุกกี้ใน WebApp1 ใน HttpResponse วิธีการอ่านคุกกี้เดียวกันจาก HttpRequest ใน WebApp2 ฉันรู้ว่ามันฟังดูแปลกเพราะคุกกี้มีความเฉพาะเจาะจงสำหรับโดเมนที่กำหนดและเราไม่สามารถเข้าถึงได้จากโดเมนที่ต่างกัน อย่างไรก็ตามฉันเคยได้ยินเกี่ยวกับคุกกี้ CROSS-DOMAIN ซึ่งสามารถแชร์กับหลาย ๆ webapps ได้ วิธีการใช้ข้อกำหนดนี้โดยใช้คุกกี้ CROSS-DOMAIN หมายเหตุ: ฉันกำลังลองกับ J2EE webapps

6
ฉันจะดูคุกกี้ใน Internet Explorer 11 โดยใช้เครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ได้อย่างไร
ฉันกำลังมองหาวิธีดูชุดคุกกี้โดยใช้เครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ใน IE11 ฉันเห็นตัวเลือกในการทำโปรไฟล์เครือข่ายเพื่อดูคุกกี้ที่ส่งไปมา แต่นี่ไม่ใช่สิ่งเดียวกัน มันยุ่งยากที่จะใช้เนื่องจากมันเป็นไปตามคำขอ แน่นอนว่าต้องมีวิธีในการดูคุกกี้ทั้งหมดเช่นเดียวกับที่คุณทำได้ใน IE10

3
การรับรองความถูกต้องตามคุกกี้ทำงานอย่างไร
ใครสามารถให้คำอธิบายทีละขั้นตอนเกี่ยวกับวิธีการตรวจสอบความถูกต้องตามคุกกี้ได้ ฉันไม่เคยทำอะไรเกี่ยวกับการรับรองความถูกต้องหรือคุกกี้ เบราว์เซอร์ต้องทำอะไร เซิร์ฟเวอร์ต้องการทำอะไร ในลำดับใด เราจะรักษาสิ่งต่าง ๆ ให้ปลอดภัยได้อย่างไร ฉันได้อ่านเกี่ยวกับการรับรองความถูกต้องหลายประเภทและเกี่ยวกับคุกกี้แล้ว แต่ฉันต้องการคำอธิบายพื้นฐานเกี่ยวกับวิธีการใช้สองวิธีด้วยกัน - ฉันแค่อ่านว่าพวกเขามักจะใช้ร่วมกัน แต่ไม่สามารถหาคำอธิบายได้อย่างไร

6
ดึง API ด้วยคุกกี้
ฉันกำลังลอง API การดึงข้อมูลใหม่ แต่มีปัญหากับคุกกี้ หลังจากเข้าสู่ระบบสำเร็จจะมีส่วนหัวของคุกกี้ในคำขอในอนาคต แต่การดึงข้อมูลดูเหมือนจะไม่สนใจส่วนหัวนั้นและคำขอทั้งหมดของฉันที่ทำด้วยการดึงข้อมูลนั้นไม่ได้รับอนุญาต เป็นเพราะการดึงข้อมูลยังไม่พร้อมหรือการดึงข้อมูลไม่ทำงานกับคุกกี้ ฉันสร้างแอปของฉันด้วย Webpack ฉันยังใช้ Fetch ใน React Native ซึ่งไม่มีปัญหาเดียวกัน
201 cookies  fetch-api 

8
ทุกคำขอของเว็บส่งคุกกี้เบราว์เซอร์หรือไม่
คำขอเว็บทุกครั้งส่งคุกกี้ของเบราว์เซอร์หรือไม่ ฉันไม่ได้พูดถึงการดูหน้าเว็บ แต่ขอรูปภาพ.jsไฟล์ ฯลฯ อัปเดต หากหน้าเว็บมีองค์ประกอบ 50 รายการนั่นคือคำขอ 50 รายการ เหตุใดจึงส่งคุกกี้ SAME สำหรับแต่ละคำขอไม่ใช่แคชหรือรู้ว่ามีอยู่แล้ว
199 cookies 

9
คุกกี้ HttpOnly ทำงานกับคำขอ AJAX อย่างไร
JavaScript ต้องการเข้าถึงคุกกี้หากใช้ AJAX บนไซต์ที่มีข้อ จำกัด การเข้าถึงตามคุกกี้ HttpOnly cookies จะทำงานบนไซต์ AJAX หรือไม่ แก้ไข: Microsoft สร้างวิธีในการป้องกันการโจมตี XSS โดยไม่อนุญาตให้เข้าถึง JavaScript กับคุกกี้หากระบุ HttpOnly FireFox นำมาใช้ในภายหลังนี้ ดังนั้นคำถามของฉันคือ: หากคุณใช้ AJAX บนไซต์เช่น StackOverflow คุกกี้ Http-Only เป็นตัวเลือกหรือไม่ แก้ไข 2:คำถามที่ 2 หากวัตถุประสงค์ของ HttpOnly คือป้องกันการเข้าถึง JavaScript ของคุกกี้และคุณยังสามารถเรียกดูคุกกี้ผ่าน JavaScript ผ่าน XmlHttpRequest Object ได้จุดประสงค์ของ HttpOnlyคืออะไร แก้ไข 3:นี่คือคำพูดจาก Wikipedia: เมื่อเบราว์เซอร์ได้รับคุกกี้ดังกล่าวก็ควรจะใช้มันตามปกติในการแลกเปลี่ยน HTTP ต่อไปนี้ แต่จะไม่ทำให้สคริปต์ฝั่งไคลเอ็นต์ปรากฏให้เห็น …
195 ajax  cookies  httponly 

13
ฟังก์ชั่นที่สั้นที่สุดสำหรับการอ่านคุกกี้ตามชื่อใน JavaScript คืออะไร?
วิธีที่ใช้งานร่วมกันได้สั้นที่สุดถูกต้องและข้ามเบราว์เซอร์สำหรับการอ่านคุกกี้ใน JavaScript คืออะไร บ่อยครั้งในขณะที่สร้างสคริปต์แบบสแตนด์อโลน (ที่ฉันไม่สามารถอ้างอิงภายนอกได้) ฉันพบว่าตัวเองเพิ่มฟังก์ชั่นสำหรับอ่านคุกกี้และมักจะถอยกลับไปที่วิธีQuirksMode.orgreadCookie() (280 ไบต์, 216 minified) function readCookie(name) { var nameEQ = name + "="; var ca = document.cookie.split(';'); for(var i=0;i < ca.length;i++) { var c = ca[i]; while (c.charAt(0)==' ') c = c.substring(1,c.length); if (c.indexOf(nameEQ) == 0) return c.substring(nameEQ.length,c.length); } return null; } มันทำงานได้ แต่น่าเกลียดและเพิ่มจำนวนบิตในแต่ละครั้ง …

19
คุกกี้บน localhost ที่มีโดเมนชัดเจน
ฉันต้องคิดถึงบางสิ่งพื้นฐานเกี่ยวกับคุกกี้ บน localhost เมื่อฉันตั้งค่าคุกกี้บนฝั่งเซิร์ฟเวอร์และระบุโดเมนอย่างชัดเจนว่าเป็น localhost (หรือ. localhost) ดูเหมือนจะไม่ยอมรับคุกกี้จากเบราว์เซอร์บางตัว Firefox 3.5:ฉันตรวจสอบคำขอ HTTP ใน Firebug สิ่งที่ฉันเห็นคือ: Set-Cookie: name=value; domain=localhost; expires=Thu, 16-Jul-2009 21:25:05 GMT; path=/ หรือ (เมื่อฉันตั้งค่าโดเมนเป็น. localhost): Set-Cookie: name=value; domain=.localhost; expires=Thu, 16-Jul-2009 21:25:05 GMT; path=/ ไม่ว่าในกรณีใดคุกกี้จะไม่ถูกจัดเก็บ IE8:ฉันไม่ได้ใช้เครื่องมือพิเศษใด ๆ แต่ดูเหมือนว่าคุกกี้จะไม่ถูกเก็บไว้เช่นกันเพราะมันจะไม่ถูกส่งกลับในการร้องขอครั้งต่อไป Opera 9.64:ทั้ง localhost และ. localhost ทำงานแต่เมื่อฉันตรวจสอบรายชื่อของคุกกี้ในการตั้งค่าโดเมนจะถูกตั้งเป็น localhost.local แม้ว่าจะอยู่ในรายการภายใต้ localhost (ในการจัดกลุ่มรายการ) Safari 4:ทั้ง localhost …
191 cookies  setcookie 

12
คุกกี้กับเซสชัน
ฉันเริ่มใช้ PHP สองสามเดือนที่ผ่านมา เพื่อสร้างระบบเข้าสู่ระบบสำหรับเว็บไซต์ของฉันฉันอ่านเกี่ยวกับคุกกี้และเซสชันและความแตกต่าง (คุกกี้ถูกเก็บไว้ในเบราว์เซอร์ของผู้ใช้และเซสชันบนเซิร์ฟเวอร์) ในเวลานั้นฉันต้องการคุกกี้ (และผู้ที่ไม่ชอบคุกกี้?!) และเพิ่งพูดว่า: "ใครสนใจฉันไม่ได้จัดการที่ดีกับการเก็บไว้ในเซิร์ฟเวอร์ของฉัน" ดังนั้นฉันไปข้างหน้าและใช้คุกกี้สำหรับ โครงการรับปริญญาตรีของฉัน อย่างไรก็ตามหลังจากส่วนใหญ่ของแอพของฉันฉันได้ยินว่าสำหรับกรณีเฉพาะของการจัดเก็บ ID ของผู้ใช้เซสชันมีความเหมาะสมมากกว่า ดังนั้นฉันจึงเริ่มคิดว่าฉันจะพูดอย่างไรถ้าคณะลูกขุนถามฉันว่าทำไมคุณถึงใช้คุกกี้แทนเซสชัน? ฉันมีเหตุผลนั้น (ฉันไม่ต้องการจัดเก็บข้อมูลภายในเกี่ยวกับผู้ใช้)? หรือมากกว่านั้น คุณช่วยบอกฉันเกี่ยวกับข้อดี / ข้อเสียของการใช้คุกกี้เพื่อรักษา ID ของผู้ใช้ได้หรือไม่? ขอบคุณสำหรับทุกคนใน StackOverflow!
189 php  session  cookies 

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.