Inden for websikkerhed er cross-site scripting-angreb den mest almindelige form for angreb, og det har været et langvarigt problem, og denne artikel vil introducere læserne til en teknologi, der kan lette dette pres, nemlig HTTP-only cookies.
1. Introduktion til XSS og HTTP-only cookies
Cross-site scripting-angreb er et af de almindelige problemer, der plager webserversikkerheden. Cross-site scripting-angreb er en serverside sikkerhedssårbarhed, der ofte skyldes serverside, der ikke filtrerer brugerinput korrekt, når de indsendes som HTML. Cross-site scripting-angreb kan få følsomme oplysninger om webstedsbrugere til at lække. For at reducere risikoen for cross-site scripting-angreb introducerer Microsofts Internet Explorer 6 SP1 en ny funktion.
Cookies er sat til HttpOnly for at forhindre XSS-angreb og stjæle cookieindhold, hvilket øger sikkerheden af cookies, og selv da gemmer de ikke vigtige oplysninger i cookies.
Formålet med at sætte HttpOnly er at forhindre XSS-angreb ved at forhindre JS i at læse cookies.
Hvis du kan læse det i JS, hvad er så pointen med kun HttpS?
Faktisk, for at sige det ligeud, er det for at forhindre javascrip{filtering}t i at læse nogle cookies, altså kontrakter og konventioner, som fastslår, at javascrip{filtering}t ikke må læse cookies med HttpOnly, det er alt.
|
Opslået på 18/09/2016 15.28.30
|
|
|
