0
我打算構建我的第一個移動web應用程序,並且我發現Android 2.3的瀏覽器並未實現httponly。有什麼方法可以防止沒有httpOnly支持的會話劫持?
什麼是一些技術來緩解這個問題?這是失敗的原因嗎?
A
回答
1
HttpOnly標誌的用途是通過禁止JavaScript訪問會話cookie來限制Web應用程序中的跨站點腳本(XSS)漏洞。如果您的Web應用程序首先被正確編寫,也就是說,如果它對XSS不易受攻擊,那麼您並不嚴格需要HttpOnly標誌是安全的(基於XSS)會話劫持。 HttpOnly只是第二道防線。
如此有效,如果由於客戶端限制而無法使用HttpOnly標誌,那麼在使用HTML,JS,CSS,JSON或其他格式生成時,應確保將所有動態數據正確地轉義根據上下文適當的轉義規則,以防止XSS。或者使用一個爲你做這個的框架。
+1
請參閱https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting).p_vention_Cheat_Sheet – Cheekysoft 2012-03-07 15:56:20
+0
我的擔憂不是*我的*應用程序。我擔心試圖捍衛在其他人試圖竊取我的cookie的Android瀏覽器上的會話劫持攻擊。 (爲了記錄,我不是一個測試者,我甚至不知道這是否是真正的威脅。) – avgvstvs 2012-03-08 00:42:42
+0
Cookie竊取和會話劫持/注入確實是真正的威脅。但是,它們只能通過重新編碼其cookie希望安全的Web應用程序來解決。除了不使用服務,或者確保您只使用HTTPS版本的服務(但在後者中,您仍然可以通過手動輸入來保存cookie模式中間的問題,如果cookie沒有設置爲HTTPS) – Cheekysoft 2012-03-08 12:58:07
相關問題
- 1. 防止會話劫持的好方法?
- 2. 怎麼辦HTTPS防止會話劫持
- 3. 如何防止tomcat會話劫持?
- 4. 停止會話劫持
- 5. 是否玩!框架有沒有內建機制來防止會話劫持?
- 6. 已取消Mediawiki登錄以防止會話劫持
- 7. ZK中的會話劫持預防
- 8. 實施會話劫持預防,正確
- 9. 如何防止會話劫持導致asp.net應用程序?
- 10. 使用時間戳防止會話劫持?
- 11. 會話劫持和PHP
- 12. 會話劫持安全
- 13. 會話劫持或攻擊?
- 14. python3.6-venv劫持點子。什麼是防止這種情況的方法?
- 15. 如何防止JSON劫持MVC的
- 16. 爲什麼TempData支持的會話
- 17. 有沒有什麼辦法可以在Rikulo中使用支持Builder模式?
- 18. 我如何防止sesssion劫持?
- 19. 有沒有某種方式可以在node.js中支持'text/plain'?
- 20. ASP.NET中的會話劫持保護
- 21. 什麼是dll劫持?
- 22. 在ASP.NET中避免會話劫持
- 23. 避免會話劫持與Kohana
- 24. 避免會話劫持現場與HTTP
- 25. 有什麼方法可以檢查設備是否支持手寫筆輸入?
- 26. 蘋果什麼時候會停止支持以前的iOS?
- 27. 有沒有一種方法可以防止Spring Boot重載bean?
- 28. 是否有可能劫持標準出
- 29. GIT,沒有支持可用的驗證方法
- 30. github:沒有支持的身份驗證方法可用
除了XSS之外,還有很多攻擊媒介需要防範,以確保會話不受劫持。請參閱https://www.owasp.org/index.php/Session_hijacking_attack – Cheekysoft 2012-03-07 15:55:14
我特別擔心在受到攻擊的Android瀏覽器中嗅探。 – avgvstvs 2012-03-08 00:44:18
如果您擔心嗅探,那麼最重要的事情之一就是通過HTTPS運行您的服務(確保HTTP始終重定向到HTTPS *並退出*),並確保cookie上設置了安全屬性以限制它們僅對HTTPS(當然也對XSS進行防禦,也考慮CSRF保護)。請注意,對HttpOnly的支持不利於嗅探攻擊。 – Cheekysoft 2012-03-08 12:51:23