Dans le domaine de la sécurité web, les attaques cross-site scripting sont la forme d’attaque la plus courante, et c’est un problème de longue date, et cet article présentera aux lecteurs une technologie pour atténuer cette pression, à savoir les cookies uniquement HTTP.
1. Introduction aux cookies XSS et HTTP uniquement
Les attaques de scripting inter-site sont l’un des problèmes courants qui affectent la sécurité des serveurs web. Les attaques de scripting inter-sites sont une vulnérabilité de sécurité côté serveur souvent causée par un échec côté serveur à filtrer correctement les entrées de l’utilisateur lors de la soumission en HTML. Les attaques de scripting inter-site peuvent entraîner la fuite d’informations sensibles des utilisateurs du site. Pour réduire le risque d’attaques cross-site scripting, Internet Explorer 6 SP1 de Microsoft introduit une nouvelle fonctionnalité.
Les cookies sont réglés en HttpOnly pour prévenir les attaques XSS et voler le contenu des cookies, ce qui augmente la sécurité des cookies, et même ainsi, ils ne stockent pas les informations importantes dans les cookies.
Le but de définir HttpOnly est de prévenir les attaques XSS en empêchant JS de lire les cookies.
Si vous pouvez le lire en JS, à quoi bon avoir uniquement Http ?
En fait, pour être franc, c’est pour empêcher javascrip{filtering}t de lire certains cookies, c’est-à-dire des contrats et conventions, qui stipulent que javascrip{filtering}t n’est pas autorisé à lire les cookies uniquement en Http, c’est tout.
|
Publié sur 18/09/2016 15:28:30
|
|
|
