En el ámbito de la seguridad web, los ataques cross-site scripting son la forma más común de ataque, y ha sido un problema de larga data, y este artículo presentará a los lectores una tecnología para aliviar esta presión, concretamente las cookies solo HTTP.
1. Introducción a las cookies solo XSS y HTTP
Los ataques de scripting entre sitios son uno de los problemas más comunes que afectan a la seguridad de los servidores web. Los ataques de scripting entre sitios son una vulnerabilidad de seguridad del lado del servidor que suele ser causada por un fallo en el lado del servidor para filtrar correctamente la entrada del usuario cuando se envia como HTML. Los ataques de scripting entre sitios pueden provocar la filtración de información sensible de los usuarios del sitio web. Para reducir el riesgo de ataques de scripting entre sitios, Internet Explorer 6 SP1 de Microsoft introduce una nueva función.
Las cookies se configuran en HttpOnly para prevenir ataques XSS y robar el contenido de las cookies, lo que aumenta la seguridad de las cookies, y aun así, no almacenan información importante en cookies.
El propósito de configurar HttpOnly es prevenir ataques XSS impidiendo que JS lea cookies.
Si puedes leerlo en JS, ¿cuál es el sentido de tener solo Http?
De hecho, para decirlo claro, es para evitar que javascrip{filtering}t lea algunas cookies, es decir, contratos y convenciones, que estipulan que javascrip{filtering}t no puede leer cookies con solo Http, eso es todo.
|
Publicado en 18/9/2016 15:28:30
|
|
|
