0
あなたのサイトにXSS攻撃があるとします。 ハッカーはCookieを使用して任意のリクエストを行うことができます。 クライアントからこの値を隠すのは何ですか?httpのみのクッキーのポイントは何ですか?
A
答えて
0
Well Http Cookieのみがサーバーからのみアクセスできます。 JavaScriptからはアクセスできません。つまり、ハッカーがこれらのクッキーを自分自身のために使用することはより困難になります。
Http Cookieのみを使用すると、Webサイトに対するクロスサイトスクリプティング攻撃の可能性が低くなります。
詳細については、このリンクを参照してください:XSS攻撃でhttps://www.owasp.org/index.php/HttpOnly
1
を、「ハッカーは、クッキーとの任意の要求を行うことができるが、」しかし、なく、すべてのクッキー。 1つのクッキーがHttpOnlyの場合、クライアントのJavaScriptからアクセスすることはできません。つまり、ハッカーはクッキー値を読み取って自分のサーバーに送信することができません。
通常、クッキーを保護するために使用されている場合HttpOnly、クッキーのDomainも設定されている(Domainは、HTTPレスポンスのSet-Cookieヘッダーに欠落している場合、そのHTTP接続のホスト名としてクッキーのドメインを設定するブラウザ)。ハッカーはHTTPリクエストをトリガし、ブラウザにリクエストにHttpOnlyクッキーを入れさせることができますが、クッキーのDomainによって制限されます。クッキーは、DomainがHTTPリクエストと一致する場合にのみ送信されます。したがって、HttpOnlyウェブサイトのクッキーDomainは安全です。XSS攻撃者に漏洩することはありません。
関連する問題
- 1. Access-Control-Allow-Origin HTTPヘッダーのポイントは何ですか?
- 2. 「ブラウザのクッキー」はHTTPのクッキーと同じですか?
- 3. OpenCLカーネルの__のポイントは何ですか?
- 4. このコードのポイントは何ですか?
- 5. getlineのバッファのポイントは何ですか?
- 6. Luaのネストブラケットのポイントは何ですか?
- 7. カミソリビューエンジンのMasterLocationFormatsのポイントは何ですか?
- 8. バザールのタグのポイントは何ですか?
- 9. iOSのナビゲーションツールバーのポイントは何ですか?
- 10. D3D12のSetGraphicsRootSignatureのポイントは何ですか?
- 11. Rubyの@@ double_at_variableのポイントは何ですか?
- 12. EC2のインスタンスストレージのポイントは何ですか?
- 13. SDLのwindow_magicのポイントは何ですか?
- 14. Pythonで@staticmethodのポイントは何ですか?
- 15. first2 ++のポイントは何ですか?
- 16. RxJS - オペレータのポイントは何ですか?
- 17. ASP.NET AJAXのポイントは何ですか?
- 18. Javascript:RegExp.compile()のポイントは何ですか?
- 19. MethodImplOptions.InternalCallのポイントは何ですか?
- 20. _MERGE_PROXYSTUBのポイントは何ですか?
- 21. browserstack.com APIのポイントは何ですか?
- 22. iter_swapのポイントは何ですか?
- 23. 大入力のポイントは何ですか?
- 24. Guzzle async promiseのポイントは何ですか?
- 25. SplittableRandomのポイントは何ですか?
- 26. インターフェイスのポイントは何ですか?
- 27. DICOM:SOPInstanceUIDタグのポイントは何ですか?
- 28. Vaadin:H2データベースのポイントは何ですか?
- 29. iPhone 8シミュレータのポイントは何ですか?
- 30. uWSGIのポイントは何ですか?
彼はクッキーの価値を知る必要はなく、彼はリクエストを出してブラウザにリクエストするだけです。 – Vova
@Vovaはい、ブラウザはHTTPリクエストに 'HttpOnly'クッキーを入れます。しかし、通常はクッキーには 'Domain'属性があります。これは、リクエストで送信されたクッキーを制限します。ウェブサイトの 'Domain'を持つ' HttpOnly'クッキーの場合、XSS攻撃者はHTTPリクエストをトリガーし、そのクッキーをウェブサイトサーバーに送ることができます。彼/彼女は、自分のサーバーにクッキーを送信することができないため、クッキーを安全に保ちます。 – shaochuancs
攻撃が存在し、httponlyフラグ、クロスサイトトレーシング(XST)をバイパスします。それは、TRACE要求を行い、javascriptの回答からクッキーを取得することに同意します。明らかに、WebサーバーでTRACEメソッドを使用できる場合に発生します。 – sinkmanu