Nel campo della sicurezza web, gli attacchi cross-site scripting sono la forma di attacco più comune ed è un problema di lunga data; questo articolo introdurrà ai lettori una tecnologia per alleviare questa pressione, ovvero i cookie solo HTTP.
1. Introduzione ai cookie solo XSS e HTTP
Gli attacchi cross-site scripting sono uno dei problemi comuni che affliggono la sicurezza dei server web. Gli attacchi cross-site scripting sono una vulnerabilità di sicurezza lato server che spesso è causata da un mancato filtraggio corretto dell'input da parte del server quando inviato in HTML. Gli attacchi cross-site scripting possono causare la fuga di informazioni sensibili sugli utenti del sito web. Per ridurre il rischio di attacchi cross-site scripting, Internet Explorer 6 SP1 di Microsoft introduce una nuova funzionalità.
I cookie sono impostati su HttpOnly per prevenire attacchi XSS e rubare i contenuti dei cookie, aumentando la sicurezza dei cookie, e anche così, non memorizzano informazioni importanti nei cookie.
Lo scopo di impostare HttpOnly è prevenire attacchi XSS impedendo a JS di leggere i cookie.
Se riesci a leggerlo in JS, qual è il senso di avere solo Http?
In effetti, per dirla senza mezzi termini, serve a impedire a javascrip{filtering}t di leggere alcuni cookie, cioè contratti e convenzioni, che stabiliscono che javascrip{filtering}t non può leggere cookie con HttpOnly, tutto qui.
|
Pubblicato su 18/09/2016 15:28:30
|
|
|
