V oblasti webové bezpečnosti jsou útoky na skriptování napříč weby nejčastější formou útoku, což je dlouhodobý problém, a tento článek představí čtenářům technologii, která tento tlak zmírňuje, konkrétně cookies pouze s HTTP.
1. Úvod do XSS a cookies pouze pro HTTP
Útoky na skriptování napříč webovými stránkami jsou jedním z běžných problémů, které trápí bezpečnost webových serverů. Cross-site scripting útoky jsou bezpečnostní zranitelnost na straně serveru, která je často způsobena selháním správného filtrování uživatelských vstupů při zasílání jako HTML. Útoky na skriptování napříč weby mohou způsobit únik citlivých informací uživatelů webu. Aby se snížilo riziko útoků skriptování napříč weby, zavádí Microsoft Internet Explorer 6 SP1 novou funkci.
Cookies jsou nastaveny pouze na HttpOnly, aby zabránily útokům XSS a krádeži obsahu cookies, což zvyšuje bezpečnost cookies, a i tak do cookies neukládají důležité informace.
Účelem nastavení HttpOnly je zabránit útokům XSS tím, že JS nečte cookies.
Pokud to dokážete číst v JS, jaký má smysl mít HttpOnly?
Ve skutečnosti, abych to řekl na rovinu, je to proto, aby javascrip{filtering}t nečetl některé cookies, tedy smlouvy a konvence, které stanovují, že javascrip{filtering}t nesmí číst cookies pouze pomocí HttpOnly, to je vše.
|
Zveřejněno 18.09.2016 15:28:30
|
|
|
