网络:XSS和HttpOnly
1.什么是HttpOnly?
如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
2.HttpOnly的设置样例
response.setHeader(
"Set-Cookie"
, "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
例如:
//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")
//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");
具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取。
Cookie cookies[]=request.getCookies();
网络:XSS和HttpOnly相关推荐
- 浅说 XSS 和 CSRF
在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式. XSS XSS,即 Cross Site Script,中译是跨站脚本攻击:其原本缩写是 CSS,但为了和层叠样式表(Cascadi ...
- 浅说 XSS和CSRF
https://github.com/dwqs/blog/issues/68 在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式.本文将会简单介绍 XSS 和 CSRF 的攻防问题. 声 ...
- WEB漏洞篇——跨站脚本攻击(XSS)
目录 一.XSS简述 1.1 什么是XSS 1.2 XSS分类 1.3 DOM XSS漏洞演示 二.XSS攻击进阶 2.1 初探XSS Payload 2.2 强大的XSS Payload 2.3 X ...
- Web安全之跨站脚本攻击(XSS)
XSS 简介 跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做&q ...
- SQL注入、XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
漏洞总结篇 SQL注入 什么是SQL注入? 怎么防御? 过滤特殊字符 修改php.in 使用mysqli_real_escape_string()函数 加固数据库方面 加固管理方面 Mybatis 防 ...
- 最全面的Python重点知识汇总,建议收藏!
点击上方"视学算法",选择加"星标"或"置顶" 重磅干货,第一时间送达 来源丨网络,由法纳斯特整理 这是一份来自于 SegmentFault ...
- 你见过的最全面的python重点
首先和大家说个对不起,由于总结了太多的东西,所以篇幅有点长,这也是我"缝缝补补"总结了好久的东西,对于Nginx的东西我没总结在这里,大家可以Python聚焦看,点击直达专栏哦. ...
- 你见过的最全面的 Python 重点
关注"小詹学Python",带你一起成长! 由于总结了太多的东西,所以篇幅有点长,这也是我"缝缝补补"总结了好久的东西. Py2 VS Py3 print成为了 ...
- all any 或 此运算符后面必须跟_好好跟大家聊聊,最全面的 Python 重点
来源:二十一 链接:https://segmentfault.com/a/1190000018737045 由于总结了太多的东西,所以篇幅有点长,这也是我"缝缝补补"总结了 ...
最新文章
- 常考数据结构与算法:数组中相加和为0的三元组
- Spring Boot零散知识总结
- java多字段排序,Java8对多个字段排序
- 【渝粤教育】国家开放大学2019年春季 3896人文英语1 参考试题
- linux 发文件被过滤的内容,linux文件过滤以及内容编辑处理
- 详解MySQL执行事务的语法和流程
- ai人工智能使用的软件_MachineRay:使用AI创造抽象艺术
- DLL和EXE加载包在自身内部的资源文件
- POJ 1061 青蛙的约定
- 谈谈百度直达号的服务价值
- 高维非空间数据可视化
- php特性之intval学习小记
- 实验室第一次考核(C语言)
- OFPPT-CTF 2022 部分writeup
- 英雄联盟手游正式上线,白拿22个永久英雄11个皮肤,太香了
- 浅谈 Android 开发文化
- 鸿蒙系统应用开发初体验(一)
- [NAS] Synology(群晖) / QNAP(威联通) 设置 MariaDB 远程访问 (附带多设备DB速度测试)
- mysql 多个字段排序
- python 文件操作常用轮子