アカウント名:
パスワード:
タレこみだけ見たら、HttpOnly cookie って session cookie と何が違うんだと思ったのですが、リリースノートを見るとクライアントサイドスクリプトからの読み出しも出来ないクライアント - サーバ間専用 cookie とする属性のようですね。
当然ながら対応している UA でなければ意味がない事や、これを無視する build も可能であることから、単純にサーバサイドではこれを付けて安心することはできなさそうですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
HttpOnly cookie ってセッションクッキーと何が違うんだ (スコア:2, 興味深い)
タレこみだけ見たら、HttpOnly cookie って session cookie と何が違うんだと思ったのですが、リリースノートを見るとクライアントサイドスクリプトからの読み出しも出来ないクライアント - サーバ間専用 cookie とする属性のようですね。
当然ながら対応している UA でなければ意味がない事や、これを無視する build も可能であることから、単純にサーバサイドではこれを付けて安心することはできなさそうですが。
Re:HttpOnly cookie ってセッションクッキーと何が違うんだ (スコア:2, 興味深い)
改ざんして悪意のスクリプトを埋め込み
スクリプトから取得したcookie値を他の悪意あるサイトへ送付して
セッションを乗っ取るという攻撃
を防ぐことが出来る
という意味でクライアントにうれしい機能です