0
假設您在您的網站上發生了XSS攻擊。 黑客可以通過cookie提出任何請求。 那麼,從客戶端隱藏這個值有什麼意義呢?http只有cookie的點是什麼?
A
回答
0
那麼Http只有cookie可以被服務器訪問。他們不能從JavaScript訪問。這意味着黑客將更難以使用這些cookie供自己使用。
Http只有cookie可以減少在網站上發生跨站點腳本攻擊的可能性。
請參閱此鏈接瞭解更多信息:https://www.owasp.org/index.php/HttpOnly
1
在XSS攻擊,「黑客可以與任何的cookie要求」,但不是所有的cookies。如果一個cookie是HttpOnly,它不能被客戶端JavaScript訪問,這意味着黑客無法讀取cookie值並將其發送到他自己的服務器,甚至不知道這個cookie是否存在。
通常,當HttpOnly用於保護的cookie,cookie的Domain也被設置(如果Domain在HTTP響應的報頭Set-Cookie缺失,瀏覽器將設置cookie的域作爲HTTP連接的主機名)。黑客可以觸發HTTP請求,並使瀏覽器在請求中放入HttpOnly Cookie,但它會受到Cookie的Domain的限制 - 只有在其Domain與HTTP請求匹配時纔會發送cookie。因此,HttpOnly Cookie與網站的Domain是安全的,它不會泄露給XSS攻擊者。
相關問題
- 1. 什麼是.AspNetCore.Correlation.Oidc cookie
- 2. 什麼是ASPXAUTH cookie?
- 3. Cookie的ID是什麼?
- 4. 是什麼setOnItemClickListener只有onItemClick
- 5. 什麼是無Cookie會話?
- 6. 什麼是Cookie要求?
- 7. 什麼是auth_tkt cookie格式?
- 8. 什麼是'mywikiLoggedOut = 12345678'cookie好?
- 9. 「Cookie」字段與http標題有什麼不同
- 10. 爲什麼csrftoken cookie有效?
- 11. SSL數據和加密cookie的漏洞點是什麼?
- 12. 爲什麼只有一個cookie在現場保存?
- 13. connect/expressjs中的「簽名」cookie是什麼?
- 14. 什麼是cookie的返回類型?
- 15. auth cookie應該是什麼樣的?
- 16. .Net核心中的.AspNetCore.Antiforgery.xxxxxxx cookie是什麼?
- 17. ASP.NET FormsAuthentication cookie值的內容是什麼?
- 18. cookie中的「killmenothing」是什麼意思?
- 19. 什麼是請求._ django中的cookie?
- 20. 爲什麼我的cookie沒有設置?
- 21. 爲什麼我的cookie沒有保存?
- 22. HTTP標頭中沒有cookie
- 23. 什麼是HTTP-FED 1.1?
- 24. HTTP 404是什麼意思?
- 25. 什麼是http升級?
- 26. 什麼是http主機頭?
- 27. 什麼是HTTP隧道?
- 28. 在HTTP中,什麼是REST?
- 29. Slim 3:什麼是HTTP Cache?
- 30. 使用Mozilla插件計算HTTP只有cookie
他不需要知道cookie值,他只是讓請求和瀏覽器提出請求。 – Vova
@Vova是的,瀏覽器會在HTTP請求中放置'HttpOnly' Cookie。但通常Cookie會有一個「Domain」屬性,它會限制請求中發送的Cookie。對於具有網站'Domain'的HttpOnly cookie,XSS攻擊者只能觸發HTTP請求並將該cookie發送到網站服務器。他/她無法將該cookie發送到他/她自己的服務器,這使cookie保持安全。 – shaochuancs
存在攻擊繞過httponly標誌,跨站點跟蹤(XST)。它通過做一個TRACE請求並從javascript中得到cookie的答案。顯然,如果Web服務器使用TRACE方法,就會發生這種情況。 – sinkmanu