Выход из HttpOnly cookie

Я вижу, что HttpOnly файлы cookie хороши для безопасности, однако они выходят из системы без взаимодействия с сервером, не так ли? 1 Поэтому, когда сеть выходит из строя, вы не можете выйти и выйти. Я могу представить обходное решение, но я бы хотел сначала спросить

  • имеет смысл обрабатывать этот случай
  • Существуют ли для этого стандартные решения?

1 Предполагая, что вы на самом деле их используете.

Ответ 1

Если вы выходите из системы, вы имеете в виду удаление cookie сеанса, то нет, вы не можете удалить файлы HttpOnly из Javascript. Тем не менее, легко настроить два файла cookie, один HttpOnly и один небезопасный, так что только комбинация из двух является действительным ключом сеанса. Удаление cookie уничтожит сеанс.

Если ваша услуга чувствительна, имеет смысл обрабатывать все реалистичные сценарии угроз, и это довольно реалистично.

Настройка двух файлов cookie, один из которых HttpOnly, на самом деле является обычным явлением в стандартной методике предотвращения CSRF. Я не видел его в вашем конкретном сценарии, но он очень похож на случай с анти-CSRF и выглядит как очевидное и простое приложение общей идеи двух cookie.