Žiniatinklio saugumo srityje kelių svetainių scenarijų atakos yra labiausiai paplitusi atakos forma, ir tai buvo ilgalaikė problema, todėl šiame straipsnyje skaitytojai bus supažindinti su technologija, skirta sumažinti šį spaudimą, būtent tik HTTP slapukus.
1. Įvadas į XSS ir tik HTTP slapukus
Kelių svetainių scenarijų atakos yra viena iš dažniausių problemų, kamuojančių žiniatinklio serverio saugumą. Kelių svetainių scenarijų atakos yra serverio saugos pažeidžiamumas, kurį dažnai sukelia serverio nesugebėjimas tinkamai filtruoti vartotojo įvesties, kai pateikiama kaip HTML. Dėl kelių svetainių scenarijų atakų gali būti nutekinta slapta svetainės naudotojų informacija. Siekiant sumažinti kelių svetainių scenarijų atakų riziką, "Microsoft" "Internet Explorer 6 SP1" pristato naują funkciją.
Slapukai yra nustatyti kaip HttpOnly, kad būtų išvengta XSS atakų ir pavogti slapukų turinį, o tai padidina slapukų saugumą ir net tokiu atveju nesaugo svarbios informacijos slapukuose.
"HttpOnly" nustatymo tikslas yra užkirsti kelią XSS atakoms, neleidžiant JS skaityti slapukų.
Jei galite skaityti jį JS, kokia prasmė turėti HttpOnly?
Tiesą sakant, tiesiai šviesiai tariant, tai yra užkirsti kelią javascrip{filtering}t skaityti kai kuriuos slapukus, tai yra, sutartis ir konvencijas, kurios numato, kad javascrip{filtering}t neleidžiama skaityti slapukų su HttpOnly, ir viskas.
|
Paskelbta 2016-09-18 15:28:30
|
|
|
