Di bidang keamanan web, serangan skrip lintas situs adalah bentuk serangan yang paling umum, dan telah menjadi masalah yang sudah berlangsung lama, dan artikel ini akan memperkenalkan pembaca pada teknologi untuk mengurangi tekanan ini, yaitu cookie khusus HTTP.
1. Pengantar Cookie XSS dan HTTP saja
Serangan skrip lintas situs adalah salah satu masalah umum yang mengganggu keamanan server web. Serangan skrip lintas situs adalah kerentanan keamanan sisi server yang sering disebabkan oleh kegagalan sisi server untuk memfilter input pengguna dengan benar saat dikirimkan sebagai HTML. Serangan skrip lintas situs dapat menyebabkan informasi sensitif pengguna situs web bocor. Untuk mengurangi risiko serangan skrip lintas situs, Internet Explorer 6 SP1 Microsoft memperkenalkan fitur baru.
Cookie diatur ke HttpOnly untuk mencegah serangan XSS dan mencuri konten cookie, yang meningkatkan keamanan cookie, dan meski begitu, tidak menyimpan informasi penting dalam cookie.
Tujuan pengaturan HttpOnly adalah untuk mencegah serangan XSS dengan mencegah JS membaca cookie.
Jika Anda dapat membacanya di JS, apa gunanya memiliki HttpOnly?
Faktanya, terus terang, itu untuk mencegah javascrip{filtering}t membaca beberapa cookie, yaitu kontrak dan konvensi, yang menetapkan bahwa javascrip{filtering}t tidak diperbolehkan membaca cookie dengan HttpOnly, itu saja.
|
Diposting pada 18/09/2016 15.28.30
|
|
|
