首页 > 编程学习 > httpOnly对于抵御Session劫持的个人小结

httpOnly对于抵御Session劫持的个人小结

发布时间:2022/11/19 5:35:51

Ⅰ 什么是http only?起到什么防护作用?

  1. cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,
  2. 主要防护的攻击手段:XSS不能通过document对象直接获取cookie

Ⅱ 怎么绕过http only的防护(三种)

  1. 前端信息泄露:开发者将设置过的httponly的cookie放在页面上,攻击者可以用crossdoamin.xml漏洞,进行跨域访问cookie
  2. 情况较少:配置出错;将httponly配置给不重要的cookie
  3. 长度溢出:低版本apache存在一个CVE漏洞,攻击者可以通过发送一个超长伪造cookie,获取httponly的cookie

Ⅲ cookie是一个很重要的东西,直接在服务器上操作,便可以保证一定的安全性,为什么还要加httponly?

  • 方便与安全,我们总得去向其中一个低头,对于有些网站登录有一些一周内免登录,这种就需要一个长时间存放在本地的身份cookie,一个赤裸裸的cookie是不能直接放,这时候,就要加点httponly,防止xss利用js脚本获取

Ⅳ 小结

  • 讲到这里,加上httponly也不一定安全,像apache的CVE漏洞那样发送超长cookie就可以获取cookie
  • 对于cookie安全,我们不能只是寄托于httponly,一个浏览器机制来保护我们的cookie,我们应该尽量不把数据信息放在cookie上,利用其他手段去降低不安全性
  • 其他用户验证方法、异地用户登录验证等方法去保证cookie的安全性
  • 正如我在stack Overflow上搜到一些答案:

在这里插入图片描述
在这里插入图片描述

Copyright © 2010-2022 dgrt.cn 版权所有 |关于我们| 联系方式