![](/img/trans.png)
[英]Is it safe to rely on Content-Type: text/plain to mitigate malicious javascript execution in response?
[英]Javascript cookie for plain text = Safe?
我有一個日期選擇器導航,其中將單擊日期保存為字符串(2015-08-31),並將其保存在cookie中,如下所示:
$datepicker_field.on('change', function (e) {
if ($(this).val()) {
//Create readable date from mm/dd/yyyy
var splitDate = $(this).val().split('/');
var readableDate = splitDate[2] + '-' + splitDate[0] + '-' + splitDate[1];
document.cookie = "agendadate=" + readableDate;
}
});
我這樣做是為了可以在pagerefresh上將日期選擇器設置為該日期。 使用戶更容易進一步導航。
現在我的問題是:這樣對XSS /會話劫持安全嗎?
沒問題。 該值來自客戶端,然后將其保存在客戶端(cookie)。 如果客戶想要更改它,則取決於他們。 所以我認為還可以。
因為需要安全性以確保他們可以做自己不能做的事情。
我認為向黑客公開日期沒有任何風險。 如果該信息是信用卡號或用戶憑證,使他們能夠在您的網站中自動運行,那將是有風險的。
但是由於您的數據不是敏感信息,因此完全可以將其存儲在Cookie中。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.