Verkkoturvallisuuden alalla monisivuiset skriptaushyökkäykset ovat yleisin hyökkäysmuoto, ja se on ollut pitkään jatkunut ongelma. Tämä artikkeli esittelee lukijoille teknologian, joka lievittää tätä painetta, nimittäin pelkästään HTTP-evästeet.
1. Johdanto XSS- ja vain HTTP-evästeisiin
Sivustojen väliset skriptaushyökkäykset ovat yksi yleisimmistä ongelmista, jotka vaivaavat verkkopalvelinten turvallisuutta. Sivustojen väliset skriptaushyökkäykset ovat palvelinpuolen tietoturva-aukko, joka usein johtuu palvelinpuolen kyvyttömyydestä suodattaa käyttäjän syötteet oikein, kun ne lähetetään HTML-muodossa. Sivustojen väliset skriptaushyökkäykset voivat johtaa verkkosivuston käyttäjien arkaluontoisten tietojen vuotamiseen. Microsoftin Internet Explorer 6 SP1 tuo mukanaan uuden ominaisuuden, jotta monien sivustojen väliset skriptaushyökkäykset vähenevät.
Evästeet on asetettu HttpOnly-tilaan estääkseen XSS-hyökkäykset ja varastamaan evästeiden sisältöä, mikä parantaa evästeiden turvallisuutta, ja silti ne eivät tallenna tärkeitä tietoja evästeisiin.
HttpOnly-asetuksen tarkoituksena on estää XSS-hyökkäyksiä estämällä JS:ää lukemasta evästeitä.
Jos osaat lukea sen JS:llä, mikä on HttpOnlyn pointti?
Itse asiassa, suoraan sanottuna, tarkoituksena on estää javascrip{filtering}t lukemasta joitakin evästeitä, eli sopimuksia ja käytäntöjä, jotka määräävät, että javascrip{filtering}t ei saa lukea evästeitä HttpOnlylla, siinä kaikki.
|
Julkaistu 18.9.2016 15.28.30
|
|
|
