জাভাস্ক্রিপ্ট কুকিজ অ্যাক্সেস প্রয়োজন যদি AJAX কুকিজ উপর ভিত্তি করে অ্যাক্সেস সীমাবদ্ধতা একটি সাইটে ব্যবহার করা হয়। এইচটিপপি কেবল কুকিগুলি কোনও এজেএক্স সাইটে কাজ করবে?
সম্পাদনা: মাইক্রোসফ্ট যদি এইচটিটিপিউলি নির্দিষ্ট করা থাকে তবে কুকিজের জাভাস্ক্রিপ্ট অ্যাক্সেসকে মঞ্জুরি দিয়ে এক্সএসএস আক্রমণ প্রতিরোধের একটি উপায় তৈরি করেছে। ফায়ারফক্স পরে এটি গ্রহণ করেছিল। সুতরাং আমার প্রশ্নটি হ'ল: আপনি যদি স্ট্যাকওভারফ্লোয়ের মতো কোনও সাইটে এজেএক্স ব্যবহার করছেন তবে এইচটিটিপি-কেবলমাত্র কুকিগুলি কী বিকল্প?
সম্পাদনা 2: প্রশ্ন ২. যদি এইচটিটিপি'র উদ্দেশ্য হ'ল জাভাস্ক্রিপ্টের কুকিজ অ্যাক্সেস রোধ করা এবং আপনি এখনও জাভাস্ক্রিপ্টের মাধ্যমে এক্সএমএলএইচটিপিআরকিউয়েস্ট অবজেক্টের মাধ্যমে কুকিজগুলি পুনরুদ্ধার করতে পারেন, তবে এইচটিটিপি'র মূল বক্তব্য কী ?
সম্পাদনা 3: এখানে উইকিপিডিয়া থেকে একটি উদ্ধৃতি দেওয়া হয়েছে:
ব্রাউজারটি যখন এই জাতীয় কুকি পেয়ে থাকে তখন এটি নিম্নলিখিত HTTP এক্সচেঞ্জগুলিতে এটি যথারীতি ব্যবহার করার কথা বলে মনে করা হয় তবে এটি ক্লায়েন্ট-সাইড স্ক্রিপ্টগুলিতে দৃশ্যমান করার জন্য নয় [[32]
HttpOnlyজাতীয় পতাকার কোনো মান অংশ নয়, এবং সমস্ত ব্রাউজারে বাস্তবায়িত হয়নি। মনে রাখবেন যে এক্সএমএলএইচটিপিআরকিউস্টের মাধ্যমে সেশন কুকিটি পড়ার বা লেখার কোনও প্রতিরোধ বর্তমানে নেই। [33]।
আমি বুঝতে পেরেছি যে document.cookieআপনি যখন এইচটিটিপিউনলি ব্যবহার করেন তখন এটি অবরুদ্ধ। তবে মনে হচ্ছে আপনি এখনও XMLHttpRequest অবজেক্টে কুকি মানগুলি পড়তে পারেন, এক্সএসএসের অনুমতি দিয়ে। কীভাবে এইচটিটিপি আপনাকে তুলনায় আরও নিরাপদ করে? কুকিজ তৈরি করে কেবল প্রয়োজনীয়?
আপনার উদাহরণে আমি আপনার কাছে লিখতে পারি না document.cookie, তবে আমি আপনার কুকিটি চুরি করতে এবং এক্সএমএলএইচটিপিআরকোয়েস্ট অবজেক্টটি ব্যবহার করে এটি আমার ডোমেনে পোস্ট করতে পারি।
<script type="text/javascript">
var req = null;
try { req = new XMLHttpRequest(); } catch(e) {}
if (!req) try { req = new ActiveXObject("Msxml2.XMLHTTP"); } catch(e) {}
if (!req) try { req = new ActiveXObject("Microsoft.XMLHTTP"); } catch(e) {}
req.open('GET', 'http://stackoverflow.com/', false);
req.send(null);
alert(req.getAllResponseHeaders());
</script>সম্পাদনা 4: দুঃখিত, আমি বোঝাতে চাইছিলাম আপনি স্ট্যাকওভারফ্লো ডোমেনে এক্সএমএলএইচটিপিপ্রকাশটি পাঠাতে পারবেন, এবং তারপরে getAllResponseHeilers () এর ফলাফলটি একটি স্ট্রিংয়ে সংরক্ষণ করুন, কুকিটি পুনরায় তৈরি করুন এবং তারপরে এটি কোনও বহিরাগত ডোমেনে পোস্ট করুন। দেখা যাচ্ছে যে উইকিপিডিয়া এবং হ্যাকাররা এই বিষয়ে আমার সাথে একমত, তবে আমি পুনরায় শিক্ষিত হতে চাই ...
চূড়ান্ত সম্পাদনা: আহ, দৃশ্যত উভয় সাইটই ভুল, এটি আসলে ফায়ারফক্সে একটি বাগ । আই আই & এবং আসলে একমাত্র ব্রাউজার যা বর্তমানে সম্পূর্ণরূপে এইচটিপিঅনলিকে সমর্থন করে।
আমি শিখেছি সমস্ত কিছুর পুনরাবৃত্তি করতে:
- আইটি 7 এবং ফায়ারফক্সের ডকুমেন্ট.কুকিতে এইচটিপি কেবলমাত্র অ্যাক্সেসকে সীমাবদ্ধ করে (অন্যান্য ব্রাউজারগুলির বিষয়ে নিশ্চিত নয়)
- এইচটিপিএইলি আই 7 এর এক্সএমএলএইচটিপিওবজেক্ট.জেটএলরেসপনস হিয়ার্স () এর প্রতিক্রিয়া শিরোনামগুলি থেকে কুকির তথ্য সরিয়ে দেয়।
- এক্সএমএলএইচটিপিওবজেক্টগুলি কেবলমাত্র সেখান থেকে উত্পন্ন ডোমেনে জমা দেওয়া যেতে পারে, তাই কুকিজের কোনও ক্রস-ডোমেন পোস্টিং নেই।
সম্পাদনা: এই তথ্য সম্ভবত আপ টু ডেট নেই।