W dziedzinie bezpieczeństwa stron internetowych ataki cross-site scripting są najczęstszą formą ataku i stanowią problem od dawna, dlatego ten artykuł przedstawi czytelnikom technologię łagodzącą tę presję, czyli ciasteczka oparte wyłącznie na HTTP.
1. Wprowadzenie do plików cookie obsługujących XSS i tylko HTTP
Ataki skryptowe na różne strony to jeden z powszechnych problemów z bezpieczeństwem serwerów WWW. Ataki skryptowe między witrynami to luki bezpieczeństwa po stronie serwera, które często powstają w wyniku błędnego filtrowania danych wejściowych po stronie serwera po przesłaniu w formie HTML. Ataki skryptowe na różne strony mogą powodować wyciek wrażliwych informacji użytkowników strony. Aby zmniejszyć ryzyko ataków skryptowych na różne strony, Internet Explorer 6 SP1 od Microsoftu wprowadza nową funkcję.
Ciasteczka są ustawione tylko na HttpOnly, aby zapobiegać atakom XSS i kradzieży treści plików cookie, co zwiększa bezpieczeństwo plików cookie, a mimo to nie przechowują ważnych informacji w tych plikach.
Celem ustawienia HttpOnly jest zapobieganie atakom XSS poprzez uniemożliwienie JS odczytywania ciasteczek.
Jeśli potrafisz to przeczytać w JS, to jaki jest sens posiadania tylko HttpOnly?
W rzeczywistości, mówiąc wprost, ma to na celu uniemożliwienie javascrip{filtering}t odczytywania niektórych plików cookie, czyli umów i konwencji, które stanowią, że javascrip{filtering}t nie może czytać plików cookie za pomocą HttpOnly, i tyle.
|
Opublikowano 18.09.2016 15:28:30
|
|
|
