HTTP কেবল ফ্ল্যাগ সেট করা হলে বিভিন্ন ব্রাউজারগুলি বিভিন্ন সুরক্ষা ব্যবস্থা সক্ষম করে। উদাহরণস্বরূপ অপেরা এবং সাফারি জাভাস্ক্রিপ্টটি কুকিতে লেখা থেকে বিরত রাখে না। যাইহোক, সমস্ত বড় ব্রাউজারের সর্বশেষতম সংস্করণে পড়া সর্বদা নিষিদ্ধ।
তবে আরও গুরুত্বপূর্ণ আপনি কেন একটি HTTPOnly
কুকি পড়তে চান ? আপনি যদি বিকাশকারী হন তবে কেবল পতাকাটি অক্ষম করুন এবং নিশ্চিত করুন যে আপনি কোডটি এক্সএসএসের জন্য পরীক্ষা করেছেন। আমি আপনাকে পরামর্শ দিচ্ছি যে যদি সম্ভব হয় তবে এই পতাকাটি অক্ষম করা থেকে দূরে থাকুন। HTTPOnly
পতাকা এবং "নিরাপদ ফ্ল্যাগ" (যা কুকি বাহিনীর উপর HTTPS পাঠানো হবে) সবসময় সেট হওয়া উচিত।
আপনি যদি আক্রমণকারী হন তবে আপনি একটি সেশন হাইজ্যাক করতে চান । HTTPOnly
পতাকা থাকা সত্ত্বেও সেশন হাইজ্যাক করার একটি সহজ উপায় রয়েছে । সেশন আইডি না জেনে আপনি এখনও সেশনে চড়ে যেতে পারেন। মাইস্পেস স্যামি কীট ঠিক তাই করেছিল। এটি একটি সিএসআরএফ টোকেন পড়ার জন্য একটি এক্সএইচআর ব্যবহার করেছিল এবং তারপরে অনুমোদিত কার্য সম্পাদন করে perform অতএব, আক্রমণকারী লগইন করা ব্যবহারকারী যে কাজটি করতে পারে প্রায় সবই করতে পারে।
মানুষের HTTPOnly
পতাকাটিতে খুব বেশি বিশ্বাস রয়েছে , এক্সএসএস এখনও শোষণীয় হতে পারে। সংবেদনশীল বৈশিষ্ট্যগুলির চারপাশে আপনার বাধা সেটআপ করা উচিত। যেমন পরিবর্তিত পাসওয়ার্ড দায়ের করা উচিত বর্তমান পাসওয়ার্ডের প্রয়োজন। একজন প্রশাসক এর একটি নতুন অ্যাকাউন্ট তৈরি করার ক্ষমতা একটি ক্যাপচা, যা একটি হল প্রয়োজন, CSRF প্রতিরোধ কৌশল সহজেই একটি সঙ্গে বাইপাস করা যাবে না XHR ।