У сфері веб-безпеки атаки на крос-сайтове скриптування є найпоширенішою формою атак, і це давня проблема, і ця стаття познайомить читачів із технологією, яка полегшує цей тиск, а саме з файлами cookie, що працюють лише з HTTP.
1. Вступ до XSS та HTTP-файлів cookie
Атаки на крос-сайтове скриптування є однією з поширених проблем, що турбує безпеку веб-серверів. Атаки на крос-сайтове скриптування — це вразливість безпеки на стороні сервера, яка часто виникає через неправильну фільтрацію користувацького введення при поданні у форматі HTML. Атаки на крос-сайтове скриптування можуть призвести до витоку конфіденційної інформації користувачів сайту. Щоб зменшити ризик атак на міжсайтове скриптування, Microsoft Internet Explorer 6 SP1 впроваджує нову функцію.
Файли cookie встановлені як HttpOnly для запобігання XSS-атакам і крадіжці вмісту файлів cookie, що підвищує їхню безпеку, і навіть при цьому не зберігають важливу інформацію в файлах cookie.
Мета налаштування HttpOnly — запобігти XSS-атакам шляхом заборони JS читати cookie.
Якщо ви можете читати це в JS, то який сенс у HttpOnly?
Насправді, якщо говорити прямо, це зроблено для того, щоб javascrip{filtering}t не читав деякі cookie, тобто контракти та конвенції, які забороняють javascrip{filtering}t читати cookies з HttpOnly, і все.
|
Опубліковано 18.09.2016 15:28:30
|
|
|
