OWASP WebGoat:HTTPOnly Test
HTTPOnly Test
Description
HTTPOnly est un flag additionnel inclus dans l'en-tête de réponse de la fonction Set-Cookie, dont voici la syntaxe de base :
Set-Cookie: <nom>=<value>[; <Max-Age>=<age>] [; expires=<date>][; domain=<domain_name>] [; path=<some_path>][; secure][; HTTPOnly]
L'utilisation du flag HTTPOnly permet de réduire les risques d'une attaque de type XSS lors de la génération d'un cookie, si la fonction est supportée par le navigateur. Si ces conditions sont réunies, la technique consiste à rendre le cookie inaccessible par des scripts clients.
Tests sous IE et FF
| Read/ Write |
Internet Explorer 6 | Firefox 3.0.10 |
|---|---|---|
| Read | 
|
|
| Read | 
|
|
| Write | 
|
|
| Write | 
|
|
Tableau de synthèse
| Navigateur | Version | Empêche "Read" | Empêche "Write" |
|---|---|---|---|
| Microsoft Internet Explorer | 8 Beta 2 | 
|
|
| Microsoft Internet Explorer | 7 |
|
|
| Microsoft Internet Explorer | 6 (SP1) |
|
|
| Mozilla Firefox | 3.0.0.6+ |
|
|
| Netscape Navigator | 9.0b3 |
|
|
| Opera | 9.23 |
|
|
| Opera | 9.50 |
|
|
| Safari | 3.0 |
|
|
| Google's Chrome | Beta (initial public release) |
|
|