В области веб-безопасности атаки на межсайтовые скрипты являются самой распространённой формой атак, и это давняя проблема, и эта статья познакомит читателей с технологией, способной облегчить это давление, а именно с HTTP-куки.
1. Введение в XSS и только HTTP-файлы cookie
Атаки на кросс-сайтовые скрипты — одна из распространённых проблем, связанных с безопасностью веб-серверов. Атаки на кросс-сайтовые скрипты — это уязвимость безопасности на стороне сервера, которая часто возникает из-за неэффективной фильтрации пользовательского ввода при подаче в формате HTML. Атаки на межсайтовые скрипты могут привести к утечке конфиденциальной информации пользователей сайтов. Чтобы снизить риск атак на межсайтовые скрипты, Internet Explorer 6 SP1 от Microsoft вводит новую функцию.
Файлы cookie настроены на HttpOnly для предотвращения XSS-атак и кражи содержимого файлов cookie, что повышает их безопасность, и при этом не сохраняют важную информацию в файлах cookie.
Цель настройки HttpOnly — предотвратить атаки XSS, не давая JS читать файлы cookie.
Если вы можете читать это в JS, в чём смысл иметь HttpOnly?
На самом деле, если говорить прямо, это направлено на то, чтобы javascrip{filtering}t не читал некоторые куки, то есть контракты и конвенции, которые запрещают javascrip{filtering}t читать cookies с HttpOnly, вот и всё.
|
Опубликовано 18.09.2016 15:28:30
|
|
|
