În domeniul securității web, atacurile cross-site scripting sunt cea mai comună formă de atac și reprezintă o problemă de lungă durată, iar acest articol va introduce cititorii o tehnologie pentru a reduce această presiune, și anume cookie-urile doar HTTP.
1. Introducere în cookie-urile XSS și doar HTTP
Atacurile cross-site scripting sunt una dintre problemele frecvente care afectează securitatea serverelor web. Atacurile cross-site scripting reprezintă o vulnerabilitate de securitate pe partea de server, adesea cauzată de eșecul de pe partea de server de a filtra corect inputul utilizatorului atunci când sunt trimise ca HTML. Atacurile cross-site scripting pot duce la scurgerea informațiilor sensibile ale utilizatorilor site-urilor. Pentru a reduce riscul atacurilor cross-site scripting, Internet Explorer 6 SP1 de la Microsoft introduce o funcție nouă.
Cookie-urile sunt setate pe HttpOnly pentru a preveni atacurile XSS și pentru a fura conținutul cookie-urilor, ceea ce crește securitatea cookie-urilor, și chiar și așa, nu stochează informații importante în cookie-uri.
Scopul setării HttpOnly este de a preveni atacurile XSS prin împiedicarea JS să citească cookie-urile.
Dacă poți să-l citești în JS, care e rostul să ai doar Http?
De fapt, ca să fiu direct, este pentru a împiedica javascrip{filter}t să citească unele cookie-uri, adică contracte și convenții, care stipulează că javascrip{filtering}t nu are voie să citească cookie-uri cu HttpOnly, atât.
|
Postat pe 18.09.2016 15:28:30
|
|
|
