c*********e
发帖数: 16335 | 1 If a browser does not support HttpOnly and a website attempts to set an
HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus
creating a traditional, script accessible cookie. As a result, the cookie (
typically your session cookie) becomes vulnerable to theft of modification
by malicious script
https://www.owasp.org/index.php/HttpOnly |
|
|
e*****t
发帖数: 1005 | 3 当然,怎么都离不开server端。 比如说刚刚举的例子,就需要server端设置cookie的
属性啊,比如说domain,path,还有一个很重要的就是httponly flag,这样javascript
,甚至java applet都不可见这个cookie了。
浏览器只是提供这些feature的support,最终都是server端来设置。
防止XSS现在大多数网站都搞的okay,现在cross-domain的问题是如果你的website要和
别人的website interact,怎么搞。流行的方案自然是oauth.
domain
指点 |
|
d********g
发帖数: 10550 | 4 你这是搞混了cookie和session
session id大部分以cookie形式存,也有少部分local storage等但是要考虑兼容性。
“用cookie”是一个很宽泛的说法,你指的cookie不安全只是明码保存的信息。现在的
cookie基本上都是要么加密要么做了签名,拿到信息也无法篡改。在cookie里不保留敏
感信息是基本常识,大部分cookie只是存一个hash id,这里面包括session id。“
hacker用一个javascript就能拿到cookie信息”不准确,HttpOnly就是防这个的,当然
这些flag都是防君子不防小人,稍微改改浏览器源码就能绕过让其不honor
说到auth,除了WebSocket这一套新的stateful,传统HTTP stateless现在用JWT的也不
少,特别是用在REST API上,和session id比各有优势:
https://tools.ietf.org/html/rfc7519
实际上cookie-based session和JWT很像。这些概念没有那么泾渭分明,都是为了解决
stateless和auth的矛... 阅读全帖 |
|
