Я пытаюсь определить самый безопасный метод для формы входа в систему на основе ajax для аутентификации и установки cookie на стороне клиента. Я видел вещи о таких атаках XSS, как это:
Как файлы cookie HttpOnly работают с запросами AJAX?
и
http://www.codinghorror.com/blog/archives/001167.html
Итак, я думаю, мои основные вопросы...
1) Использует чистый ajax, чтобы установить cookie файлы в безопасном режиме, если да, то какой самый безопасный метод (httpOnly + SSL + зашифрованные значения и т.д.)?
2) Использует ли чистый метод ajax настройку стороны клиента cookie? Это вообще безопасно?
3) Является ли настройка файлов cookie таким образом надежным во всех основных браузерах/ОС?
4) Будет ли использование скрытого IFrame более безопасным (вызов веб-страницы для установки файлов cookie)?
5) Если возможно, у кого-нибудь есть код для этого (PHP - это мой бэкэнд)?
Моя цель - установить файлы cookie и сделать их доступными для следующего вызова сервера без перехода от страницы.
Я действительно хочу прибить консенсус, самый безопасный способ сделать это. В конце концов, этот код планируется сделать открытым исходным кодом, поэтому, пожалуйста, не используйте коммерческий код (или ничего, что не выдерживало бы общественного контроля)
Спасибо, -Todd