Na področju spletne varnosti so napadi s skriptiranjem med spletnimi stranmi najpogostejša oblika napada in to je dolgoletni problem, ta članek pa bo bralcem predstavil tehnologijo, ki ta pritisk zmanjšuje, in sicer piškotke, ki uporabljajo samo HTTP.
1. Uvod v XSS in piškotke, ki uporabljajo samo HTTP
Napadi s skriptiranjem med spletnimi stranmi so ena izmed pogostih težav, ki pestijo varnost spletnih strežnikov. Napadi s skriptiranjem med spletnimi stranmi so varnostna ranljivost na strežniški strani, ki je pogosto posledica strežniške neuspešnosti pri pravilnem filtriranju uporabniških vnosov, ko se pošiljajo kot HTML. Napadi s skriptiranjem med spletnimi stranmi lahko povzročijo razkritje občutljivih podatkov uporabnikov spletnih strani. Da bi zmanjšali tveganje za napade s skriptiranjem na več spletnih straneh, Microsoftov Internet Explorer 6 SP1 uvaja novo funkcijo.
Piškotki so nastavljeni na HttpOnly, da preprečijo XSS napade in krajo vsebine piškotkov, kar povečuje varnost piškotkov, poleg tega pa ne shranjujejo pomembnih informacij v piškotki.
Namen nastavitve HttpOnly je preprečiti XSS napade tako, da JS ne more brati piškotkov.
Če lahko bereš v JS, kakšen je smisel imeti samo HttpOnly?
Pravzaprav, da povem naravnost, gre za preprečevanje branja nekaterih piškotkov, torej pogodb in konvencij, ki določajo, da javascrip{filtering}t ne sme brati piškotkov z HttpOnly, nič več.
|
Objavljeno na 18. 09. 2016 15:28:30
|
|
|
