Paweł Goleń, blog

Jakiś czas temu Microsoft wprowadził w IE obsługę dodatkowej flagi httpOnly dla cookies. Mówiąc obrazowo zastosowanie tej flagi ukrywało oznaczone nimi cookies przed skryptami, co znacznie zmniejszało skutki ewentualnego wykrycia jakiegoś XSS na stronie. Po prostu “wstrzyknięty” za pośrednictwem XSS skrypt nie jest w stanie wykraść oznaczonego tą flagą cookie z identyfikatorem sesji, a więc przejęcie sesji nie jest możliwe (w ten sposób). Przez długi czas flaga ta była obsługiwana wyłącznie przez IE. Okazuje się jednak, że uznawanie w chwili obecnej tej flagi za rozszerzenie specyficzne dla IE jest błędem. Jest ona obsługiwana zarówno przez Firefoxa (od wersji 2.0.0.5) jak i będzie obsługiwana przez Operę (od wersji 9.5 b1). Innymi słowy – cookie sesyjne poza flagą secure powinno mieć również flagę httpOnly.

Oryginał tego wpisu dostępny jest pod adresem httpOnly już nie tylko w IE

Autor: Paweł Goleń