HttpOnly는 XSS가 쿠키를 훔치는 것을 방지할 수 있는데 왜 널리 사용되지 않습니까?

답글 내용:

http-only는 쿠키 도난을 방지할 수 있지만, 편의성과 보안이 항상 상충되는 것은 아닙니다. 개발 측면에서는 처음에 전체 아키텍처를 httponly로 배포하지 않는 한 이후 유지 관리 비용이 상대적으로 낮습니다. 그렇지 않으면 이후 단계에서 일반적으로 httponly를 배포하는 것이 상대적으로 어려울 것입니다. 주로 반영: 비즈니스 라인이 매우 긴 경우 httponly를 배포하는 것은 몸 전체에 영향을 미치는 것과 같습니다.
Tencent를 예로 들면 다음과 같은 코드가 있습니다.
document.domain="http://qq.com ";
즉, 다른 2차 도메인 이름*.http://qq.com 더 높은 수준의 도메인 이름이라도 쿠키와 같은 사용자 정보를 동기화할 수 있습니다.
이는 사용자 경험을 향상시키지만 보안 문제를 예고하기도 합니다.
Tencent의 2차 도메인 이름 xss는 무엇을 할 수 있나요? pkav에서 다음 동영상을 시청할 수 있습니다.
인터넷은 정말 안전한가요? http://v.qq.com/boke/play/t/v/m/t1063qxrovm.html?_out= 102 위에서 말한 내용이 전부입니다. 요약하자면:
1. httponly가 대중화될지 [널리 사용되는지]는 시나리오에 따라 다릅니다.
2. httponly는 만병통치약이 아닙니다. Apache의 cve-2012-0053은 httponly를 뚫을 수 있습니다.