Innen websikkerhet er cross-site scripting-angrep den vanligste formen for angrep, og det har vært et langvarig problem, og denne artikkelen vil introdusere leserne for en teknologi som kan lette dette presset, nemlig HTTP-only cookies.
1. Introduksjon til XSS- og HTTP-only informasjonskapsler
Cross-site scripting-angrep er et av de vanlige problemene som plager webserversikkerheten. Cross-site scripting-angrep er en serverside sikkerhetssårbarhet som ofte skyldes serverside manglende filtrering av brukerinput når de sendes inn som HTML. Cross-site scripting-angrep kan føre til at sensitiv informasjon om nettstedbrukere lekker. For å redusere risikoen for cross-site scripting-angrep, introduserer Microsofts Internet Explorer 6 SP1 en ny funksjon.
Informasjonskapsler settes til HttpOnly for å forhindre XSS-angrep og stjele innhold fra informasjonskapsler, noe som øker sikkerheten til informasjonskapsler, og selv da lagrer de ikke viktig informasjon i informasjonskapsler.
Formålet med å sette HttpOnly er å forhindre XSS-angrep ved å hindre JS i å lese informasjonskapsler.
Hvis du kan lese det i JS, hva er poenget med å ha kun HttpS?
Faktisk, for å si det rett ut, er det for å forhindre at javascrip{filtering}t leser noen informasjonskapsler, det vil si kontrakter og konvensjoner, som sier at javascrip{filtering}t ikke har lov til å lese informasjonskapsler med HttpOnly, det er alt.
|
Publisert på 18.09.2016 15:28:30
|
|
|
