কীভাবে জাভাস্ক্রিপ্ট ব্যবহার করে এইচটিটিপিউনলি কুকি পড়বেন


90

জাভাস্ক্রিপ্ট সহ কোনও নিরাপদ কুকি পড়ার কোনও উপায় আছে কি?
আমি এটি ব্যবহার করে করার চেষ্টা করেছি document.cookieএবং সুরক্ষিত কুকিজ এবং এইচটিপপ্যাঞ্জলি পতাকা সম্পর্কে যতদূর আমি এই নিবন্ধটিতে দেখতে পাচ্ছি , আমি এইভাবে কোনও সুরক্ষিত কুকি অ্যাক্সেস করতে পারি না।

কেউ কি কাজের প্রস্তাব দিতে পারে?


4
উইকি থেকে : কোনও সুরক্ষিত কুকি কেবল তখনই ব্যবহার করা হয় যখন কোনও ব্রাউজার এইচটিটিপিএসের মাধ্যমে কোনও সার্ভারে যায়।
পাভেল হোদেক

6
@ পাভেল হোদেক এটিই ভুল পতাকা। "সুরক্ষিত" কুকি পতাকাটির HTTP কেবল সুরক্ষা পতাকাটির সাথে কোনও সম্পর্ক নেই। তাদের একটি ভয়ঙ্কর নামকরণ সিস্টেম রয়েছে।
রোক

4
এই প্রশ্নগুলির শিরোনামটি "এইচটিটিপি ওলি" পতাকা অন্তর্ভুক্ত করার জন্য পরিবর্তন করা উচিত। এটি যেমন দাঁড়িয়েছে মনে হচ্ছে প্রশ্নটি "সুরক্ষিত" পতাকা সম্পর্কে।
টম

উত্তর:


126

HTTP কেবল ফ্ল্যাগ সেট করা হলে বিভিন্ন ব্রাউজারগুলি বিভিন্ন সুরক্ষা ব্যবস্থা সক্ষম করে। উদাহরণস্বরূপ অপেরা এবং সাফারি জাভাস্ক্রিপ্টটি কুকিতে লেখা থেকে বিরত রাখে না। যাইহোক, সমস্ত বড় ব্রাউজারের সর্বশেষতম সংস্করণে পড়া সর্বদা নিষিদ্ধ।

তবে আরও গুরুত্বপূর্ণ আপনি কেন একটি HTTPOnlyকুকি পড়তে চান ? আপনি যদি বিকাশকারী হন তবে কেবল পতাকাটি অক্ষম করুন এবং নিশ্চিত করুন যে আপনি কোডটি এক্সএসএসের জন্য পরীক্ষা করেছেন। আমি আপনাকে পরামর্শ দিচ্ছি যে যদি সম্ভব হয় তবে এই পতাকাটি অক্ষম করা থেকে দূরে থাকুন। HTTPOnlyপতাকা এবং "নিরাপদ ফ্ল্যাগ" (যা কুকি বাহিনীর উপর HTTPS পাঠানো হবে) সবসময় সেট হওয়া উচিত।

আপনি যদি আক্রমণকারী হন তবে আপনি একটি সেশন হাইজ্যাক করতে চান । HTTPOnlyপতাকা থাকা সত্ত্বেও সেশন হাইজ্যাক করার একটি সহজ উপায় রয়েছে । সেশন আইডি না জেনে আপনি এখনও সেশনে চড়ে যেতে পারেন। মাইস্পেস স্যামি কীট ঠিক তাই করেছিল। এটি একটি সিএসআরএফ টোকেন পড়ার জন্য একটি এক্সএইচআর ব্যবহার করেছিল এবং তারপরে অনুমোদিত কার্য সম্পাদন করে perform অতএব, আক্রমণকারী লগইন করা ব্যবহারকারী যে কাজটি করতে পারে প্রায় সবই করতে পারে।

মানুষের HTTPOnlyপতাকাটিতে খুব বেশি বিশ্বাস রয়েছে , এক্সএসএস এখনও শোষণীয় হতে পারে। সংবেদনশীল বৈশিষ্ট্যগুলির চারপাশে আপনার বাধা সেটআপ করা উচিত। যেমন পরিবর্তিত পাসওয়ার্ড দায়ের করা উচিত বর্তমান পাসওয়ার্ডের প্রয়োজন। একজন প্রশাসক এর একটি নতুন অ্যাকাউন্ট তৈরি করার ক্ষমতা একটি ক্যাপচা, যা একটি হল প্রয়োজন, CSRF প্রতিরোধ কৌশল সহজেই একটি সঙ্গে বাইপাস করা যাবে না XHR


আপনি কি দয়া করে কৃমি সম্পর্কে বিস্তারিত বলতে পারেন? এই লিঙ্কটি কাজ করে না এবং ইন্টারনেট থেকেও খুব বেশি বোঝে না। ধন্যবাদ.
অভিষেক জেবরাজ

@Abhishek Jebaraj আপনি স্যামি কীট বুঝতে পারেন না, বা CSRF টি টোকেন, তারপর প্রথম সীমা বুঝতে চেষ্টা একই বংশোদ্ভূত নীতি
দাড়কাক


50

এইচটিটিপি কেবলমাত্র কুকিগুলির পুরো বিষয়টি হ'ল এগুলি জাভাস্ক্রিপ্ট দ্বারা অ্যাক্সেস করা যায় না।

আপনার স্ক্রিপ্টগুলি পড়ার একমাত্র উপায় (ব্রাউজার বাগগুলি শোষণ ব্যতীত) সার্ভারে একটি সহযোগী স্ক্রিপ্ট থাকা যা কুকির মান পড়বে এবং প্রতিক্রিয়া সামগ্রীর অংশ হিসাবে এটি আবার প্রতিধ্বনি করবে। তবে আপনি যদি তা করতে এবং করতে পারেন তবে প্রথম স্থানে HttpOnly কুকিজ কেন ব্যবহার করবেন?


ব্যবহারকারী এটি নির্দিষ্ট ব্রাউজার থেকে আপনার সাইটটি ব্যবহার করার অনুমতি দেওয়ার আগে ব্যবহারকারীর ব্রাউজারটি কুকিজের জন্য HttpOnly সঠিকভাবে পরিচালনা করে কিনা তা জানতে আপনি এটি পরীক্ষা করতে চাইতে পারেন। আমি এমন একটি উদাহরণ খুঁজছি যা এইচটিপিঅনলি পতাকাটির ব্রাউজার সমর্থনকে আশ্বাস দিতে পারে।
এমএসও

আমি তাদের পরামর্শ পেয়েছি যে ব্রাউজার সংস্করণ সাদা তালিকা রয়েছে। আমি ভুল হতে পারি, তবে এর পরিবর্তে জাভাস্ক্রিপ্ট থেকে সমর্থনটি পরীক্ষা করা কি কোনও সুবিধাজনক উপায় নয়? আপনি কি এই বিষয়ে কোনও ড্রব্যাকস বলতে পারেন?
উর্সেগর

-7

সাফারি ওয়েব ইন্সপেক্টর ব্যবহার করার একটি উপায় এবং স্টোরেজ ট্যাবে আপনি সমস্ত কুকি দেখতে পারেন, কেবলমাত্র বা না, এবং অনুলিপি করতে কেবল কুকি কমান্ড + সি নির্বাচন করতে পারেন।

আপনার কাছে স্ট্রিং হয়ে গেলে আপনি সহজেই কোনও কুকি পার্সার বা সরল জাভাস্ক্রিপ্টের সাহায্যে এটিকে পার্স করতে পারেন।

এখানে চিত্র বর্ণনা লিখুন


4
এফএফ এবং ক্রোমও এটি করতে পারে। ওপি যেমন চায় তেমন জিনিস নয়।
imba-tjd

@ ইম্বা-টিজেডি আচ্ছা আপনি ঠিক বলেছেন তবে আমি তখন সাফারি ব্যবহার করছিলাম তাই এটার পক্ষে নিশ্চয়তা দেওয়া যেতে পারে।
পঙ্কজডহরে

এটি এমন যে আপনি "আমি কীভাবে ব্যবহারকারী ইনপুট পাব" এমন প্রশ্নের উত্তর দেওয়ার মতো, "কেবল তাদের জিজ্ঞাসা করুন এবং তারপরে এটি আপনার কোডে সেট করুন"।
ফোরামুলেটর
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.