Warum wird HttpOnly nicht häufig verwendet, da es XSS daran hindern kann, Cookies zu stehlen?

Antwortinhalt:

http-only kann den Diebstahl von Cookies verhindern, ist aber kein Allheilmittel. Komfort und Sicherheit stehen immer im Widerspruch zueinander. In Bezug auf die Entwicklung sind die späteren Wartungskosten relativ gering, es sei denn, die Gesamtarchitektur wird zu Beginn nur mit http bereitgestellt. Andernfalls wird es in späteren Phasen im Allgemeinen relativ schwierig sein, httponly bereitzustellen. Dies spiegelt sich hauptsächlich darin wider: Wenn die Geschäftslinie sehr lang ist, ist die Bereitstellung von httponly gleichbedeutend mit einer Auswirkung auf den gesamten Körper.
Nehmen Sie Tencent als Beispiel: Darin finden Sie einen Code:
document.domain="http://qq.com ";
d. h. verschiedene Second-Level-Domainnamen*.http://qq.com Auch Domänennamen höherer Ebenen können Benutzerinformationen wie Cookies synchronisieren.
Dies verbessert die Benutzererfahrung, deutet aber auch auf Sicherheitsprobleme hin.
Was kann Tencents Second-Level-Domainname xss leisten? Sie können dieses Video von pkav ansehen:
Ist das Internet wirklich sicher? http://v.qq.com/boke/play/t/v/m/t1063qxrovm.html?_out= 102 Nun, das ist alles, was ich oben gesagt habe. Fassen wir zusammen:
1. Ob httponly populär wird [weit verbreitet], hängt vom Szenario ab. Über httponly zu sprechen, ohne das Szenario, ist einfach ein Hooligan.
2. httponly ist kein Allheilmittel. cve-2012-0053 von Apache kann nur http durchbrechen.