Tīmekļa drošības jomā starpvietņu skriptēšanas uzbrukumi ir visizplatītākais uzbrukuma veids, un tā ir ilgstoša problēma, un šis raksts iepazīstinās lasītājus ar tehnoloģiju, lai mazinātu šo spiedienu, proti, tikai HTTP sīkfailiem.
1. Iepazīšanās ar XSS un tikai HTTP sīkdatnēm
Starpvietņu skriptēšanas uzbrukumi ir viena no izplatītākajām problēmām, kas nomāc tīmekļa servera drošību. Starpvietņu skriptēšanas uzbrukumi ir servera puses drošības ievainojamība, ko bieži izraisa servera puses nespēja pareizi filtrēt lietotāja ievadi, kad tā tiek iesniegta kā HTML. Starpvietņu skriptēšanas uzbrukumi var izraisīt vietnes lietotāju sensitīvas informācijas noplūdi. Lai samazinātu starpvietņu skriptēšanas uzbrukumu risku, Microsoft Internet Explorer 6 SP1 ievieš jaunu līdzekli.
Sīkdatnes ir iestatītas uz HttpOnly, lai novērstu XSS uzbrukumus un nozagtu sīkdatņu saturu, kas palielina sīkdatņu drošību, un pat tādā gadījumā sīkdatnēs nesaglabā svarīgu informāciju.
HttpOnly iestatīšanas mērķis ir novērst XSS uzbrukumus, neļaujot JS lasīt sīkfailus.
Ja jūs varat to lasīt JS, kāda jēga ir HttpOnly?
Patiesībā, atklāti sakot, tas ir neļaut javascrip{filtering}t lasīt dažus sīkfailus, tas ir, līgumus un konvencijas, kas nosaka, ka javascrip{filtering}t nav atļauts lasīt sīkfailus ar HttpOnly, tas ir viss.
|
Publicēts 18.09.2016 15:28:30
|
|
|
