[英]Javascript cookie for plain text = Safe?
我有一个日期选择器导航,其中将单击日期保存为字符串(2015-08-31),并将其保存在cookie中,如下所示:
$datepicker_field.on('change', function (e) {
if ($(this).val()) {
//Create readable date from mm/dd/yyyy
var splitDate = $(this).val().split('/');
var readableDate = splitDate[2] + '-' + splitDate[0] + '-' + splitDate[1];
document.cookie = "agendadate=" + readableDate;
}
});
我这样做是为了可以在pagerefresh上将日期选择器设置为该日期。 使用户更容易进一步导航。
现在我的问题是:这样对XSS /会话劫持安全吗?
没问题。 该值来自客户端,然后将其保存在客户端(cookie)。 如果客户想要更改它,则取决于他们。 所以我认为还可以。
因为需要安全性以确保他们可以做自己不能做的事情。
我认为向黑客公开日期没有任何风险。 如果该信息是信用卡号或用户凭证,使他们能够在您的网站中自动运行,那将是有风险的。
但是由于您的数据不是敏感信息,因此完全可以将其存储在Cookie中。
依赖Content-Type:text / plain来缓解恶意javascript执行是否安全?
[英]Is it safe to rely on Content-Type: text/plain to mitigate malicious javascript execution in response?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.