Veebiturvalisuse valdkonnas on kõige levinum rünnakute vorm ristsaidi-skriptimise rünnakud, mis on olnud pikaajaline probleem; see artikkel tutvustab lugejatele tehnoloogiat, mis leevendab seda survet – nimelt ainult HTTP-küpsiseid.
1. Sissejuhatus XSS-i ja ainult HTTP-küpsiste juurde
Veebilehtedevahelise skriptimise rünnakud on üks levinumaid probleeme, mis vaevavad veebiserveri turvalisust. Ristsaidilised skriptimisrünnakud on serveripoolne turvaauk, mis sageli tekib serveripoolse sisendi ebaõnnestumise tõttu, kui kasutaja sisendit HTML-ina esitatakse. Veebilehtedeülesed skriptimisrünnakud võivad põhjustada veebikasutajate tundliku info lekkimist. Ristsaidiliste skriptimisrünnakute riski vähendamiseks tutvustab Microsofti Internet Explorer 6 SP1 uut funktsiooni.
Küpsised on seatud HttpOnly peale, et takistada XSS-rünnakuid ja varastada küpsiste sisu, mis suurendab küpsiste turvalisust, ning isegi nii ei salvestata olulist teavet küpsisetesse.
HttpOnly seadistamise eesmärk on takistada XSS-rünnakuid, takistades JS-il küpsiseid lugemast.
Kui sa oskad seda JS-is lugeda, mis mõte on HttpOnly'l?
Tegelikult, otse öeldes, on see selleks, et takistada javascrip{filtering}t lugemast mõningaid küpsiseid, st lepinguid ja konventsioone, mis näevad ette, et javascrip{filtering}t ei tohi HttpOnlyga küpsiseid lugeda, see on kõik.
|
Postitatud 18.09.2016 15:28:30
|
|
|
