Op het gebied van webbeveiliging zijn cross-site scripting-aanvallen de meest voorkomende vorm van aanval, en het is al lange tijd een probleem, en dit artikel zal lezers kennis laten maken met een technologie die deze druk kan verlichten, namelijk HTTP-only cookies.
1. Introductie tot XSS- en HTTP-only cookies
Cross-site scripting-aanvallen zijn een van de veelvoorkomende problemen die de beveiliging van webservers teisteren. Cross-site scripting-aanvallen zijn een server-side beveiligingskwetsbaarheid die vaak wordt veroorzaakt doordat de server niet correct filtert wanneer gebruikersinvoer als HTML wordt ingediend. Cross-site scripting-aanvallen kunnen ervoor zorgen dat gevoelige informatie van websitegebruikers wordt gelekt. Om het risico op cross-site scripting-aanvallen te verminderen, introduceert Microsoft's Internet Explorer 6 SP1 een nieuwe functie.
Cookies zijn ingesteld op HttpOnly om XSS-aanvallen te voorkomen en de inhoud van cookies te stelen, wat de beveiliging van cookies verhoogt, en zelfs dan slaan ze geen belangrijke informatie in cookies op.
Het doel van het instellen van HttpOnly is om XSS-aanvallen te voorkomen door te voorkomen dat JS cookies leest.
Als je het in JS kunt lezen, wat is dan het nut van alleen HttpOnly?
Sterker nog, om het maar botweg te zeggen, is het bedoeld om te voorkomen dat javascrip{filtering}t sommige cookies leest, dat wil zeggen contracten en conventies, die bepalen dat javascrip{filtering}t geen cookies mag lezen met HttpOnly, dat is alles.
|
Geplaatst op 18-09-2016 15:28:30
|
|
|
