我正在尝试为基于ajax的登录表单确定最安全的方法来进行身份验证并设置客户端cookie.我见过有关XSS攻击的事情,比如:
和
http://www.codinghorror.com/blog/archives/001167.html
所以,我想我的核心问题是......
1)使用纯粹的ajax来设置cookie是否安全,如果是,那么最安全的方法是什么(httpOnly + SSL +加密值等)?
2)纯粹的ajax方法是否涉及设置cookie客户端?这一切都安全吗?
3)在所有主流浏览器/操作系统中以这种方式设置cookie是否可靠?
4)使用隐藏的IFrame是否更安全(调用网页来设置cookie)?
5)如果可能的话,是否有人为此编写代码(PHP是我的后端)?
我的目标是设置cookie并让它们可用于下次调用服务器而无需离开页面.
我真的想要确定共识,最安全的方式来做到这一点.最终,这个代码计划成为开源的,所以请不要使用商业代码(或者没有任何不能经得起公众监督的代码)
谢谢, - 托德