Im Bereich der Websicherheit sind Site-Cross-Scripting-Angriffe die häufigste Form von Angriffen, und es ist ein langjähriges Problem; dieser Artikel wird den Lesern eine Technologie näherbringen, die diesen Druck lindert, nämlich HTTP-only-Cookies.
1. Einführung in XSS- und HTTP-only-Cookies
Crosssite-Scripting-Angriffe sind eines der häufigsten Probleme, die die Sicherheit von Webservern beeinträchtigen. Crosssite-Scripting-Angriffe sind eine serverseitige Sicherheitslücke, die oft durch serverseitiges Versagen verursacht wird, Benutzereingaben korrekt zu filtern, wenn sie als HTML eingereicht werden. Seitenübergreifende Skriptangriffe können dazu führen, dass sensible Informationen von Website-Nutzern durchsickern. Um das Risiko von Crosssite-Scripting-Angriffen zu verringern, führt Microsofts Internet Explorer 6 SP1 eine neue Funktion ein.
Cookies sind auf HttpOnly eingestellt, um XSS-Angriffe zu verhindern und Cookie-Inhalte zu stehlen, was die Sicherheit von Cookies erhöht, und selbst dann speichern sie keine wichtigen Informationen in Cookies.
Der Zweck der Einstellung von HttpOnly ist es, XSS-Angriffe zu verhindern, indem verhindert wird, dass JS Cookies liest.
Wenn du es in JS lesen kannst, was bringt es dann mit HttpOnly?
Um es klar zu sagen, soll es verhindern, dass javascrip{filtering}t einige Cookies liest, also Verträge und Konventionen, die besagen, dass javascrip{filtering}t keine Cookies mit HttpOnly lesen darf, das ist alles.
|
Veröffentlicht am 18.09.2016 15:28:30
|
|
|
