V oblasti webovej bezpečnosti sú útoky na skriptovanie naprieč stránkami najbežnejšou formou útoku, čo je dlhodobý problém, a tento článok predstaví čitateľom technológiu, ktorá tento tlak zmierňuje – konkrétne cookies len pre HTTP.
1. Úvod do XSS a cookies len pre HTTP
Útoky na skriptovanie naprieč webovými stránkami sú jedným z bežných problémov, ktoré trápia bezpečnosť webových serverov. Cross-site skriptovacie útoky sú bezpečnostnou zraniteľnosťou na strane servera, ktorá často vzniká v dôsledku zlyhania servera pri správnom filtrovaní používateľských vstupov pri zadávaní ako HTML. Cross-site scripting útoky môžu spôsobiť únik citlivých informácií používateľov webu. Aby sa znížilo riziko cross-site skriptovacích útokov, Microsoft Internet Explorer 6 SP1 zavádza novú funkciu.
Cookies sú nastavené len na HttpOnly, aby zabránili útokom XSS a krádeži obsahu cookies, čo zvyšuje bezpečnosť cookies, a aj tak neukladajú dôležité informácie do cookies.
Účelom nastavenia HttpOnly je zabrániť XSS útokom tým, že JS nečíta cookies.
Ak to vieš čítať v JS, aký má zmysel mať len HttpOnly?
V skutočnosti, aby som to povedal na rovinu, je to preto, aby javascrip{filtering}t nečítal niektoré cookies, teda zmluvy a konvencie, ktoré stanovujú, že javascrip{filtering}t nesmie čítať cookies cez HttpOnly, to je všetko.
|
Zverejnené 18. 9. 2016 15:28:30
|
|
|
