जब HTTPOnly ध्वज सेट किया जाता है , तो विभिन्न ब्राउज़र विभिन्न सुरक्षा उपायों को सक्षम करते हैं । उदाहरण के लिए ओपेरा और सफारी जावास्क्रिप्ट को कुकी में लिखने से नहीं रोकते हैं। हालांकि, सभी प्रमुख ब्राउज़रों के नवीनतम संस्करण पर पढ़ना हमेशा निषिद्ध है।
लेकिन इससे भी महत्वपूर्ण बात यह है कि आप एक HTTPOnly
कुकी क्यों पढ़ना चाहते हैं ? यदि आप एक डेवलपर हैं, तो बस ध्वज को अक्षम करें और सुनिश्चित करें कि आप अपने कोड का xss के लिए परीक्षण करें। मेरा सुझाव है कि यदि संभव हो तो आप इस ध्वज को अक्षम करने से बचें। HTTPOnly
झंडा और "सुरक्षित झंडा" (जो कुकी बलों से अधिक https भेजे जाने के लिए) हमेशा सेट होना चाहिए।
यदि आप एक हमलावर हैं , तो आप एक सत्र को हाईजैक करना चाहते हैं । लेकिन HTTPOnly
झंडे के बावजूद एक सत्र को हाईजैक करने का एक आसान तरीका है । आप सत्र आईडी को जाने बिना भी सत्र पर सवारी कर सकते हैं। माइस्पेस सामी कीड़ा ने ऐसा ही किया। इसने CSRF टोकन को पढ़ने और फिर एक अधिकृत कार्य करने के लिए एक XHR का उपयोग किया । इसलिए, हमलावर लगभग कुछ भी कर सकता है जो लॉग उपयोगकर्ता कर सकता है।
लोगों को HTTPOnly
झंडे पर बहुत अधिक विश्वास है , XSS अभी भी शोषक हो सकता है। आपको संवेदनशील सुविधाओं के चारों ओर अवरोध स्थापित करना चाहिए। जैसे कि परिवर्तन किए गए पासवर्ड को वर्तमान पासवर्ड की आवश्यकता होती है। एक नया खाता बनाने के लिए एक व्यवस्थापक की क्षमता को कैप्चा की आवश्यकता होती है, जो एक सीएसआरएफ रोकथाम तकनीक है जिसे आसानी से एक्सएचआर के साथ बाईपास नहीं किया जा सकता है ।