Я прочитал информацию о OWASP, а также ряд статей, включая статью Джеффа Этвуда Защита ваших файлов cookie, и я все еще чувствую, что мне нужно лучше понимать файлы cookie HttpOnly.
Это произошло потому, что мне нужно было добавить на сайт некоторый код отслеживания Google Adword. Этот javascript должен был установить и прочитать файл cookie в домене веб-сайта, и я предположил, что это проблема. Веб-сайт представляет собой приложение .Net с httpOnlyCookies="true"
в web.config, поэтому я предположил, что лучшим подходом было бы заменить javascript и записать файл cookie из серверной части, чтобы убедиться, что сгенерированный файл cookie был HttpOnly. Тогда я мог бы легко прочитать cookie и на стороне сервера.
Я понимаю, что установка HttpOnly свойства cookie в значительной степени предотвращает чтение и манипулирование cookie клиентом. Но я не понимаю:
- Учитывая приведенный выше пример, возникла ли у меня проблема с использованием реализации javascript?
- Можно ли было бы записать файл cookie с помощью javascript (но по-прежнему читать его на стороне сервера)? Я думаю, что нет, поскольку файл cookie не является файлом cookie HttpOnly
- Если я поступил правильно (перенес все на серверную реализацию), почему файлы cookie Google Analytic всегда реализованы как файлы cookie, отличные от HttpOnly? Неужто они тоже представляют угрозу безопасности?
Итак, как сказано в заголовке, я предполагаю, что я спрашиваю - когда (если вообще) целесообразно иметь файлы cookie, отличные от HttpOnly, в вашем домене?