Выйти с помощью HttpOnly cookie

Question

Выйти с помощью HttpOnly cookie

Я могу увидеть это HttpOnly куки полезны для безопасности, однако они делают невозможным выход без взаимодействия с сервером, верно?¹ Таким образом, когда сеть выходит из строя, вы не можете выйти и уйти. Я могу представить обходной путь, но я хотел бы спросить сначала

имеет ли смысл заниматься этим делом
Есть ли стандартные решения для этого?

^{1 Предполагая, что вы на самом деле используете их.}

28

web-services session cookies httponly cookie-httponly

Источник

user581205 24 мар '14 в 15:15

1 ответ

Другие вопросы по тегам web-services session cookies httponly cookie-httponly

user775806 12 апр '14 в 20:19 2014-04-12 20:19 · Answer 1 · 2014-04-12 20:19

Если при выходе из системы вы имеете в виду удаление куки сессии, то нет, вы не можете удалить куки HttpOnly из Javascript. Однако легко настроить два файла cookie, один HttpOnly и один незащищенный, так что только комбинация этих двух файлов является допустимым ключом сеанса. Удаление любого файла cookie разрушит сеанс.

Если ваш сервис чувствителен, имеет смысл обрабатывать все реалистичные сценарии угроз, и этот вариант довольно реалистичен.

Настройка двух файлов cookie, одним из которых является HttpOnly, на самом деле распространена в стандартной технике предотвращения CSRF. Я не видел его в вашем конкретном сценарии, но он очень похож на случай с анти-CSRF и выглядит как очевидное и простое применение общей идеи twoo-cookies.