No campo da segurança web, ataques cross-site scripting são a forma mais comum de ataque, e isso tem sido um problema antigo, e este artigo apresentará aos leitores uma tecnologia para aliviar essa pressão, ou seja, os cookies apenas em HTTP.
1. Introdução a XSS e cookies somente HTTP
Ataques de scripts entre sites são um dos problemas comuns que afetam a segurança dos servidores web. Ataques de scripting entre sites são uma vulnerabilidade de segurança do lado do servidor que frequentemente é causada pela falha do lado do servidor em filtrar corretamente a entrada do usuário quando enviada como HTML. Ataques de scripts entre sites podem causar vazamento de informações sensíveis dos usuários do site. Para reduzir o risco de ataques cross-site scripting, o Internet Explorer 6 SP1 da Microsoft introduz um novo recurso.
Os cookies são configurados como HttpOnly para prevenir ataques XSS e roubar o conteúdo dos cookies, o que aumenta a segurança dos cookies, e mesmo assim, não armazenam informações importantes nos cookies.
O objetivo de definir o HttpOnly é prevenir ataques XSS impedindo que o JS leia cookies.
Se você consegue ler em JS, qual o sentido de ter HttpOnly?
Na verdade, para ser direto, é para impedir que javascrip{filtering}t leia alguns cookies, ou seja, contratos e convenções, que estipulam que javascrip{filtering}t não pode ler cookies com HttpOnly, só isso.
|
Publicado em 18/09/2016 15:28:30
|
|
|
