getHttpResponse()->setCookie() a httponly

baal

Zdravím,

proč má \Nette\Environment::getHttpResponse()->setCookie() natvrdo nastavené httponly na true? Když pak potřebuji s cookie pracovat v JS, tak je to problém.

Lopata

XSS je ale daleko daleko větší problém.

baal

V jakém smyslu? Pokud jde o session hijacking, tak je to neopodstatněné. Cookies lze používat na víc věcí než jen na ukládání SessionID. Do cookie ukládám naprosto něco jiného a nedovedu si představit zneužití. Pokud se pletu, budu rád za osvětu ;).

Lopata

Nepleteš se. Je pravda, že HttpOnly je jen léčení symptomu a ne nemoci. Možná to ztěžuje útočníkovi přístup ke cookies, ale neznemožňuje to a navíc je to tak trochu smutý workaround okolo cizího kódu na stránce, který tam stejně prostě nemá co dělat. V aktuálním Nette to ale již není, nebo se zase pletu já…? :-|

baal

Je to tam pořád, u setcookie() poslední parametr. V defaultu ať tam klidně true je, to mi nevadí, ale bylo by vhodnější, kdyby to šlo nastavit i přes parametr a ne takto natvrdo. On to zas takový problém není, můžu použít přímo setcookie(). Jde spíš o zvyk a používání OOP :).

Lopata

Oh … nechal jsem se zaslepit tím komentářem… Nastavit jako parametr by se to možná mohlo. Nenapadá mě ale smysluplné využití.