В областта на уеб сигурността, атаките с крос-сайт скриптове са най-често срещаната форма на атаки и това е дългогодишен проблем, а тази статия ще запознае читателите с технология, която облекчава този натиск, а именно HTTP-само бисквитки.
1. Въведение в бисквитките само за XSS и HTTP
Атаките за скриптоване между различни сайтове са един от честите проблеми, които тормозят сигурността на уеб сървърите. Атаките със скриптови между сайтове са уязвимост в сигурността на сървъра, която често се причинява от неспособност на сървърната страна да филтрира правилния потребителски вход при подаване като HTML. Атаките с крос-сайт скриптове могат да доведат до изтичане на чувствителна информация на потребителите на уебсайта. За да се намали рискът от атаки за скриптове между различни сайтове, Internet Explorer 6 SP1 на Microsoft въвежда нова функция.
Бисквитките са настроени на HttpOnly, за да предотвратят XSS атаки и да крадат съдържание на бисквитките, което увеличава тяхната сигурност, и въпреки това не съхраняват важна информация в бисквитките.
Целта на настройката на HttpOnly е да се предотвратят XSS атаки, като се предотврати четенето на бисквитки от JS.
Ако можеш да го четеш на JS, какъв е смисълът да имаш HttpOnly?
Всъщност, казано направо, целта е да се предотврати javascrip{filtering}t да чете някои бисквитки, тоест договори и конвенции, които постановяват, че javascrip{filtering}t не може да чете бисквитки с HttpOnly, това е всичко.
|
Публикувано в 18.09.2016 г. 15:28:30 ч.
|
|
|
