1.什么是HttpOnly?
如果cookie中設(shè)置了HttpOnly屬性��,那么通過(guò)js腳本將無(wú)法讀取到cookie信息�,這樣能有效的防止XSS攻擊,竊取cookie內(nèi)容���,這樣就增加了cookie的安全性,即便是這樣���,也不要將重要信息存入cookie�����。XSS全稱Cross SiteScript�����,跨站腳本攻擊����,是Web程序中常見(jiàn)的漏洞�����,XSS屬于被動(dòng)式且用于客戶端的攻擊方式,所以容易被忽略其危害性��。其原理是攻擊者向有XSS漏洞的網(wǎng)站中輸入(傳入)惡意的HTML代碼�,當(dāng)其它用戶瀏覽該網(wǎng)站時(shí),這段HTML代碼會(huì)自動(dòng)執(zhí)行�,從而達(dá)到攻擊的目的。如��,盜取用戶Cookie�、破壞頁(yè)面結(jié)構(gòu)、重定向到其它網(wǎng)站等����。
2.HttpOnly的設(shè)置樣例
response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
例如:
//設(shè)置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")
//設(shè)置多個(gè)cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//設(shè)置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");
具體參數(shù)的含義再次不做闡述,設(shè)置完畢后通過(guò)js腳本是讀不到該cookie的��,但使用如下方式可以讀取�����。
Cookie cookies[]=request.getCookies();
XSS攻擊是跨站腳本攻擊���,攻擊用戶的客戶端�����,攻擊者往web網(wǎng)頁(yè)里面插入惡意的html代碼��,當(dāng)用戶瀏覽該html頁(yè)面時(shí)���,html頁(yè)面里面的代碼就會(huì)被執(zhí)行��,使用js腳本獲取用戶的cookie信息���,獲取到cookie信息上傳至攻擊者的服務(wù)器,攻擊者獲取cookie里面的信息��,即被攻擊����。比如:郵箱中收到的鏈接等����。
測(cè)試方法:用戶不隨意點(diǎn)擊不明確的鏈接;cookie加密處理(MD5加密等等)����,避免存放關(guān)鍵信息;使用HttpOnly=true
8779.png)
該文章在 2020/4/8 12:00:44 編輯過(guò)
400 186 1886
