Cookies захисту від атак XSS
Пам'ятайте але три технічних угону сесії? Вгадайте, захоплення, зафіксувати сесії печиво. Ну, один метод полягає в захопленні печива XSS (Cross сценаріїв сайті), шляхом введення в сценарій в браузері жертви, скрипт для відправки і печиво на сервер зловмисника. Сценарій читати кукі через document.cookie, які були підготовлені таким чином, що цей сценарій може маніпулювати браузера куки на стороні клієнта.
Як захистити печиво від крадіжки разі атаки XSS? У самому справі розробники повинні прагнути до того, що ні XSS помилок у веб-додатках, але це було нелегко для запобігання XSS. Є так багато варіантів написання мітки / скрипт, який дозволяє ін'єкції скрипта. Якщо все HTML-теги не допускаються в застосуванні, легко
запобігання XSS. Але якщо розробники знаходяться в ситуації, коли Є HTML-теги дозволені і які не повинні бути, це важко і часто розробники шанси.
Власне Є прапори кукі, якщо використовувати допоможе запобігти крадіжки кукі, коли Є XSS дірок. Такий прапор httpOnly і безпечним. Коли печиво отримали прапори httponly / безпечніше, JavaScript, не зможуть отримати доступ до кукі через document.cookie. Але цей прапор не заважає XSS, цей прапор тільки допомагає захистити
печиво. Пам'ятайте Є багато інших атак, які можна зробити, XSS, і небезпечніше, ніж крадіжці печива. Так розробники як і раніше повинні бути обережні при появі нічого в браузері клієнта. Цей прапор був насправді дуже корисна, але на жаль, рідко використовується через це прапора може бути непопулярною, і не багато розробників, хто знає.
Дізнайтеся більше про httponly і безпечної прапори читайте далі:
http://www.ilmuhacking.com/web-security/protecting-cookie-from-xss-using-httponly-secure-flag/
Коментар