Eu tenho um cookie que NÃO HttpOnly
Posso definir esse cookie por HttpOnly
meio de JavaScript?
Eu tenho um cookie que NÃO HttpOnly
Posso definir esse cookie por HttpOnly
meio de JavaScript?
Respostas:
Um HttpOnly
meio de cookie que é não disponível para linguagens de script como JavaScript. Portanto, em JavaScript, não há absolutamente nenhuma API disponível para obter / definir o HttpOnly
atributo do cookie, pois, de outra forma, isso invalidaria o significado de HttpOnly
.
Basta configurá-lo como tal no lado do servidor, usando qualquer idioma do lado do servidor que ele esteja usando. Se o JavaScript for absolutamente necessário para isso, você pode considerar apenas deixá-lo enviar alguma solicitação (ajax) com, por exemplo, algum parâmetro de solicitação específico que aciona a linguagem do lado do servidor para criar um cookie HttpOnly. Mas, isso ainda tornaria mais fácil para os hackers alterarem o HttpOnly
por apenas XSS e ainda tivessem acesso ao cookie via JS e, assim, tornaria o HttpOnly
no seu cookie completamente inútil.
HttpOnly
", desde que o cookie ainda seja ilegível no script ...