首页 > 其他分享 >使用HttpOnly缓解最常见的XSS攻击

使用HttpOnly缓解最常见的XSS攻击

时间:2022-10-11 14:14:09浏览次数:41  
标签:XSS 浏览器 攻击 cookie 缓解 HttpOnly 客户端

什么是HttpOnly

HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话)

如果HTTP响应标头中包含HttpOnly标志(可选),客户端脚本将无法访问cookie(如果浏览器支持该标志的话)。因此即使客户端存在跨站点脚本(XSS)漏洞,浏览器也不会将Cookie透露给第三方。

如果浏览器不支持HttpOnly,并且后端服务器尝试设置HttpOnly cookie,浏览器也会忽略HttpOnly标志,从而创建传统的,脚本可访问的cookie。那么该cookie(通常是会话cookie)容易受到XSS攻击

使用HttpOnly缓解最常见的XSS攻击

大多数XSS攻击都是针对会话cookie的盗窃。后端服务器可以通过在其创建的cookie上设置HttpOnly标志来帮助缓解此问题,这表明该cookie在客户端上不可访问。

如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。

标签:XSS,浏览器,攻击,cookie,缓解,HttpOnly,客户端
From: https://www.cnblogs.com/virde/p/16779015.html

相关文章

  • Summary of XSS
    SummaryofXSSDefinition​ 跨站脚本攻击XSS(CrossSiteScripting),为了不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻......
  • 处理XSS攻击以及文章摘要的处理
    文章摘要的处理在上文中,我们添加文章简介是用暴露的方式直接切取这样的方式导致文章简介包含标签,如下图:正确的业务逻辑应该是想办法,获取当前的文本内容,然后切取150个文......
  • web安全 XSS攻击 和 CSRF攻击
    是什么?XSS攻击又称跨站脚本攻击定义:攻击者给前端页面植入一段恶意代码,欺骗用户操作发送到服务器,服务器返回到前端,浏览器解析之后能被执行,从而获取用户信息,以及冒充用户......
  • Exchange零日漏洞缓解措施
    点开参考文档注:此文章只是记录,使用前要根据自己的生产环境是否可用该方式。下面的处理方法会影响autodiscover自动发现配置邮箱。如图打开IIS双击打开URL重写模块......
  • 学习笔记-XSS跨站脚本
    XSS主要基于javascript语言完成恶意的攻击行为。XSS的验证:<script>alert(/xss/)</script>常用<script>confirm('xss')</script><script>prompt("xss"......
  • XSS攻击实验
    实验目的:在winxp系统中的IE浏览器版本存在漏洞,通过劫持IE获取cookie,再进行登录操作实验步骤:1、部署实验环境winxp(IE浏览器)、主机:192.168.17.1、kali:19......
  • CTFShow XSS
    做题目前,需要先搭建一个网站,用于接收flag。这里选择的是php语言。网页(2.php)代码如下:大概说一下作用,接收get传递来的参数,并写在flag.txt中<?php$flag=$_GET['c'];$......
  • XSS攻击
    学习若依开源项目08xss过滤防重复提交全局异常处理https://blog.csdn.net/qq_44600359/article/details/119458227XSS攻击常识及常见的XSS攻击脚本汇总 https://www.......
  • XSS
    XSS种类1、反射型提交的数据成功的实现了XSS,但是仅仅是对你这次访问产生了影响,是非持久型攻击2、存储型提交的数据成功的实现了XSS,存入了数据库/文件,别人访问这个页面的......
  • 把beef-xss搭建在公网上
    我是la......