Web güvenliği alanında, siteler arası betik saldırıları en yaygın saldırı biçimidir ve uzun süredir devam eden bir sorundur; bu makale okuyuculara bu baskıyı hafifletmek için yalnızca HTTP tabanlı çerezler teknolojisini tanıtacaktır.
1. XSS ve sadece HTTP Çerezlerine Giriş
Çapraz site betik saldırıları, web sunucusu güvenliğini etkileyen yaygın sorunlardan biridir. Çapraz site betik saldırıları, genellikle sunucu tarafının HTML olarak gönderildiğinde kullanıcı girdisini doğru filtreleyememesinden kaynaklanan bir sunucu tarafı güvenlik açığıdır. Siteler arası betik saldırıları, web sitesi kullanıcılarının hassas bilgilerinin sızdırılmasına neden olabilir. Çapraz site betik saldırılarının riskini azaltmak için Microsoft'un Internet Explorer 6 SP1 yeni bir özelliği tanıtıyor.
Çerezler, XSS saldırılarını önlemek ve çerez içeriğini çalmak için HttpOnly olarak ayarlanmıştır; bu da çerezlerin güvenliğini artırır ve yine de önemli bilgileri çerezlerde saklamaz.
HttpOnly ayarının amacı, JS'nin çerezleri okumasını engelleyerek XSS saldırılarını önlemektir.
JS'de okuyabiliyorsanız, HttpOnly'nin ne anlamı var?
Aslında, açıkça söylemek gerekirse, javascrip{filtering}t'nin bazı çerezleri, yani HttpOnly ile çerezleri okumasına izin verilmediğini belirten sözleşme ve sözleşmeleri okumasını engellemek içindir, hepsi bu.
|
Yayınlandı 18.09.2016 15:28:30
|
|
|
