Inom webbsäkerhet är cross-site scripting-attacker den vanligaste formen av attack, och det har varit ett långvarigt problem, och denna artikel kommer att introducera läsarna till en teknik som kan lindra detta tryck, nämligen HTTP-endast cookies.
1. Introduktion till XSS- och HTTP-endast cookies
Cross-site scripting-attacker är ett av de vanligaste problemen som plågar webbserversäkerheten. Cross-site scripting-attacker är en serversida säkerhetssårbarhet som ofta orsakas av serversidans misslyckande att korrekt filtrera användarinput när den skickas in som HTML. Cross-site scripting-attacker kan leda till att känslig information om webbplatsanvändare läcker. För att minska risken för cross-site scripting-attacker introducerar Microsofts Internet Explorer 6 SP1 en ny funktion.
Cookies är inställda på HttpOnly för att förhindra XSS-attacker och stjäla cookieinnehåll, vilket ökar säkerheten för cookies, och även då lagrar de inte viktig information i cookies.
Syftet med att ställa in HttpOnly är att förhindra XSS-attacker genom att förhindra att JS läser cookies.
Om du kan läsa det i JS, vad är då poängen med att ha HttpOnly?
Faktum är att det, för att uttrycka det rakt på sak, är för att förhindra att javascrip{filtering}t läser vissa cookies, det vill säga kontrakt och konventioner, som säger att javascrip{filtering}t inte får läsa cookies med HttpOnly, det är allt.
|
Publicerad på 2016-09-18 15:28:30
|
|
|
