HttpOnly は XSS が Cookie を盗むのを防ぐことができるのに、なぜ広く使用されないのでしょうか?

返信内容:

http のみを使用すると Cookie の盗難を防ぐことができますが、利便性とセキュリティは常に相反するものではありません。開発に関しては、最初に httponly でアーキテクチャ全体を展開しない限り、後のメンテナンスコストは比較的低くなります。そうしないと、後の段階で httponly を展開するのが比較的困難になることが一般的です。主に次のような点が反映されています。事業ラインが非常に長い場合、httponly を展開することは、全身に影響を与えることと同じです。
Tencent を例に挙げます。その中に次のコードが見つかります:
document.domain="http://qq.com";
つまり、異なる第 2 レベルのドメイン名です。 *.http://qq.com、さらに上位レベルのドメイン名でも、Cookie などのユーザー情報を同期できます。
これによりユーザー エクスペリエンスが向上しますが、セキュリティ上の問題も発生します。
Tencent のセカンドレベル ドメイン名 xss は何ができるのですか?このビデオは pkav から見ることができます:
インターネットは本当に安全ですか? http://v.qq.com/boke/play/t/v/m/t1063qxrovm.html?_out=102 さて、上でたくさん述べてきましたが、要約しましょう:
1 、httponly が普及するかどうかはシナリオ次第です。シナリオなしで httponly について話すのはフーリガンです。
2. httponly は万能薬ではありません。 Apache の cve-2012-0053 は httponly を突破できます。