网络：XSS和HttpOnly

2024-04-21 02:04:03

1.什么是HttpOnly?

如果cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击，窃取cookie内容，这样就增加了cookie的安全性，即便是这样，也不要将重要信息存入cookie。XSS全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie、破坏页面结构、重定向到其它网站等。

2.HttpOnly的设置样例

response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

例如：

//设置cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")

//设置多个cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

//设置https的cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

具体参数的含义再次不做阐述，设置完毕后通过js脚本是读不到该cookie的，但使用如下方式可以读取。

Cookie cookies[]=request.getCookies();

网络：XSS和HttpOnly相关推荐

浅说 XSS 和 CSRF
在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式. XSS XSS,即 Cross Site Script,中译是跨站脚本攻击:其原本缩写是 CSS,但为了和层叠样式表(Cascadi ...
浅说 XSS和CSRF
https://github.com/dwqs/blog/issues/68 在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式.本文将会简单介绍 XSS 和 CSRF 的攻防问题. 声 ...
WEB漏洞篇——跨站脚本攻击（XSS）
目录一.XSS简述 1.1 什么是XSS 1.2 XSS分类 1.3 DOM XSS漏洞演示二.XSS攻击进阶 2.1 初探XSS Payload 2.2 强大的XSS Payload 2.3 X ...
Web安全之跨站脚本攻击（XSS）
XSS 简介跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做&q ...
SQL注入、XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
漏洞总结篇 SQL注入什么是SQL注入? 怎么防御? 过滤特殊字符修改php.in 使用mysqli_real_escape_string()函数加固数据库方面加固管理方面 Mybatis 防 ...
最全面的Python重点知识汇总，建议收藏！
点击上方"视学算法",选择加"星标"或"置顶" 重磅干货,第一时间送达来源丨网络,由法纳斯特整理这是一份来自于 SegmentFault ...
你见过的最全面的python重点
首先和大家说个对不起,由于总结了太多的东西,所以篇幅有点长,这也是我"缝缝补补"总结了好久的东西,对于Nginx的东西我没总结在这里,大家可以Python聚焦看,点击直达专栏哦. ...
你见过的最全面的 Python 重点
关注"小詹学Python",带你一起成长! 由于总结了太多的东西,所以篇幅有点长,这也是我"缝缝补补"总结了好久的东西. Py2 VS Py3 print成为了 ...
all any 或此运算符后面必须跟_好好跟大家聊聊，最全面的 Python 重点
来源:二十一链接:https://segmentfault.com/a/1190000018737045 由于总结了太多的东西,所以篇幅有点长,这也是我"缝缝补补"总结了 ...

最新文章

热门文章