A webbiztonság területén a keresztoldali szkriptelések a leggyakoribb támadási formák, és régóta fennálló probléma, és ez a cikk bemutatja az olvasókat egy olyan technológiával, amely enyhíti ezt a nyomást, nevezetesen a kizárólag HTTP-alapú sütiket.
1. Bevezetés az XSS és kizárólag HTTP-alapú sütikbe
A weboldalakon átterjedő szkripttámadások az egyik gyakori probléma, amely a webszerver biztonságát sújtja. A weboldalakon áthaladó szkripttámadások szerveroldali biztonsági sebezhetőségek, amelyeket gyakran a szerveroldali hibák okoznak, hogy nem szűrik megfelelően a felhasználói bemenetet HTML-ként történő beküldéskor. A weboldalakon átívelő szkripttámadások miatt érzékeny információk szivároghatnak ki a weboldal felhasználóiról. A weboldalakon átterjedő szkripttámadások kockázatának csökkentése érdekében a Microsoft Internet Explorer 6 SP1 új funkciót vezet be.
A sütik HttpOnly beállításra vannak állítva, hogy megakadályozzák az XSS támadásokat és ellopják a süti tartalmakat, ami növeli a sütik biztonságát, és még így sem tárolnak fontos információkat a sütikben.
A HttpOnly beállításának célja, hogy megakadályozza az XSS támadásokat azáltal, hogy megakadályozza a JS-t a sütikek olvasásában.
Ha JS-ben is el tudod olvasni, mi értelme van HttpOnly-nak?
Valójában, őszintén szólva, ez azért van, hogy megakadályozza a javascrip{filtering}t sütiket olvasson, vagyis szerződéseket és konvenciókat, amelyek kimondják, hogy javascrip{filtering}t nem olvashat sütikeket HttpOnly segítségével, ennyi az egész.
|
Közzétéve 2016. 09. 18. 15:28:30
|
|
|
