document.cookieが空っぽだったはなし
今日したこと
- Railsのセキュリティ対策について色々知った
- GTA5とかいうので遊んだ
document.cookie で何も表示されない
session_idをjsで書き換えることで複数ドメインでのセッション共有をしようとしてた。 jsでdocument.cookieを表示して操作しようとしたのだが、そもそもdocument.cookieに何も入っておらず、何も出てこない。 iframe内のjavascriptだからかー?と無駄に色々していたが違った。
session_idのcookieはhttponlyなcookieだった。 httponlyってなんぞと。 httpsでしか送信されないcookie
今週のお題「表彰状」
はsecureなのになんでhttponlyなんて属性があるんだろうと思ったら、 javascriptから触れないcookieという意味のhttponlyらしい。 なるほど。 こうすればXSSされてもセッション盗まれなくて少しは安全だよねってことか。
Railsのsessionidのクッキーはデフォでhttponlyで付加されている。 Rackのパラメータを変えることでhttponlyをoffにすることができたけど、起動時にいっぱい警告がでて笑った。
結局この方針は諦めて別の方針を採った。
GAT5とかいうの今更買った
買った。 今更である。 なんか銃が撃ちたくなって。。。 乱射してると楽しい。 ビルの上からスナイパーライフルでその辺歩いてる人をヘッドショットするのがいい。
どうでもいいはなし
方針が二転三転していてなかなか進捗が生まれていない。 つらい。 明日は引っ越し先を探しに行く。 さっさと決めてしまいたい。
そういえば昼に家の近くに新しく出来たラーメン屋に行ったが、あまり美味しくなかった。 (´・ω・`)