জাভাস্ক্রিপ্ট সহ কোনও নিরাপদ কুকি পড়ার কোনও উপায় আছে কি?
আমি এটি ব্যবহার করে করার চেষ্টা করেছি document.cookieএবং সুরক্ষিত কুকিজ এবং এইচটিপপ্যাঞ্জলি পতাকা সম্পর্কে যতদূর আমি এই নিবন্ধটিতে দেখতে পাচ্ছি , আমি এইভাবে কোনও সুরক্ষিত কুকি অ্যাক্সেস করতে পারি না।
কেউ কি কাজের প্রস্তাব দিতে পারে?
উত্তর:
HTTP কেবল ফ্ল্যাগ সেট করা হলে বিভিন্ন ব্রাউজারগুলি বিভিন্ন সুরক্ষা ব্যবস্থা সক্ষম করে। উদাহরণস্বরূপ অপেরা এবং সাফারি জাভাস্ক্রিপ্টটি কুকিতে লেখা থেকে বিরত রাখে না। যাইহোক, সমস্ত বড় ব্রাউজারের সর্বশেষতম সংস্করণে পড়া সর্বদা নিষিদ্ধ।
তবে আরও গুরুত্বপূর্ণ আপনি কেন একটি HTTPOnlyকুকি পড়তে চান ? আপনি যদি বিকাশকারী হন তবে কেবল পতাকাটি অক্ষম করুন এবং নিশ্চিত করুন যে আপনি কোডটি এক্সএসএসের জন্য পরীক্ষা করেছেন। আমি আপনাকে পরামর্শ দিচ্ছি যে যদি সম্ভব হয় তবে এই পতাকাটি অক্ষম করা থেকে দূরে থাকুন। HTTPOnlyপতাকা এবং "নিরাপদ ফ্ল্যাগ" (যা কুকি বাহিনীর উপর HTTPS পাঠানো হবে) সবসময় সেট হওয়া উচিত।
আপনি যদি আক্রমণকারী হন তবে আপনি একটি সেশন হাইজ্যাক করতে চান । HTTPOnlyপতাকা থাকা সত্ত্বেও সেশন হাইজ্যাক করার একটি সহজ উপায় রয়েছে । সেশন আইডি না জেনে আপনি এখনও সেশনে চড়ে যেতে পারেন। মাইস্পেস স্যামি কীট ঠিক তাই করেছিল। এটি একটি সিএসআরএফ টোকেন পড়ার জন্য একটি এক্সএইচআর ব্যবহার করেছিল এবং তারপরে অনুমোদিত কার্য সম্পাদন করে perform অতএব, আক্রমণকারী লগইন করা ব্যবহারকারী যে কাজটি করতে পারে প্রায় সবই করতে পারে।
মানুষের HTTPOnlyপতাকাটিতে খুব বেশি বিশ্বাস রয়েছে , এক্সএসএস এখনও শোষণীয় হতে পারে। সংবেদনশীল বৈশিষ্ট্যগুলির চারপাশে আপনার বাধা সেটআপ করা উচিত। যেমন পরিবর্তিত পাসওয়ার্ড দায়ের করা উচিত বর্তমান পাসওয়ার্ডের প্রয়োজন। একজন প্রশাসক এর একটি নতুন অ্যাকাউন্ট তৈরি করার ক্ষমতা একটি ক্যাপচা, যা একটি হল প্রয়োজন, CSRF প্রতিরোধ কৌশল সহজেই একটি সঙ্গে বাইপাস করা যাবে না XHR ।
এইচটিটিপি কেবলমাত্র কুকিগুলির পুরো বিষয়টি হ'ল এগুলি জাভাস্ক্রিপ্ট দ্বারা অ্যাক্সেস করা যায় না।
আপনার স্ক্রিপ্টগুলি পড়ার একমাত্র উপায় (ব্রাউজার বাগগুলি শোষণ ব্যতীত) সার্ভারে একটি সহযোগী স্ক্রিপ্ট থাকা যা কুকির মান পড়বে এবং প্রতিক্রিয়া সামগ্রীর অংশ হিসাবে এটি আবার প্রতিধ্বনি করবে। তবে আপনি যদি তা করতে এবং করতে পারেন তবে প্রথম স্থানে HttpOnly কুকিজ কেন ব্যবহার করবেন?
সাফারি ওয়েব ইন্সপেক্টর ব্যবহার করার একটি উপায় এবং স্টোরেজ ট্যাবে আপনি সমস্ত কুকি দেখতে পারেন, কেবলমাত্র বা না, এবং অনুলিপি করতে কেবল কুকি কমান্ড + সি নির্বাচন করতে পারেন।
আপনার কাছে স্ট্রিং হয়ে গেলে আপনি সহজেই কোনও কুকি পার্সার বা সরল জাভাস্ক্রিপ্টের সাহায্যে এটিকে পার্স করতে পারেন।
