ajax之HttpOnly cookie 如何与 AJAX 请求配合使用

最新推荐文章于 2024-05-21 15:18:23 发布
最新推荐文章于 2024-05-21 15:18:23 发布
阅读量28 收藏
点赞数
文章标签: ajax okhttp 前端
原文链接:https://www.itguest.com/post/hijdjd2b8.html
版权

如果在基于 cookie 的访问限制的站点上使用 AJAX,则 JavaScript 需要访问 cookie。 HttpOnly cookies 能在 AJAX 网站上工作吗?

Microsoft 创建了一种防止 XSS 攻击的方法,如果指定了 HttpOnly,则不允许 JavaScript 访问 cookie。 FireFox后来采用了这一点。所以我的问题是:如果您在 StackOverflow 等网站上使用 AJAX,可以选择 Http-Only cookie 吗?

如果 HttpOnly 的目的是阻止 JavaScript 访问 cookie,并且您仍然可以通过 XmlHttpRequest 对象通过 JavaScript 检索 cookie,那么有什么意义呢? HttpOnly?

以下是维基百科的引用:

When the browser receives such a cookie, it is supposed to use it as usual in the following HTTP exchanges, but not to make it visible to client-side scripts.[32] The HttpOnly flag is not part of any standard, and is not implemented in all browsers. Note that there is currently no prevention of reading or writing the session cookie via a XMLHTTPRequest. [33].

据我了解,当您使用 HttpOnly 时,document.cookie 会被阻止。但似乎您仍然可以读取 XMLHttpRequest 对象中的 cookie 值,从而允许 XSS。 HttpOnly 如何让您更安全?通过使cookie本质上只读?

在您的示例中,我无法写入您的 document.cookie,但我仍然可以窃取您的 cookie 并使用 XMLHttpRequest 对象将其发布到我的域。

<script type="text/javascript"> 
    var req = null; 
    try { req = new XMLHttpRequest(); } catch(e) {} 
    if (!req) try { req = new ActiveXObject("Msxml2.XMLHTTP"); } catch(e) {} 
    if (!req) try { req = new ActiveXObject("Microsoft.XMLHTTP"); } catch(e) {} 
    req.open('GET', 'http://stackoverflow.com/', false); 
    req.send(null); 
    alert(req.getAllResponseHeaders()); 
</script>

抱歉,我的意思是您可以将 XMLHttpRequest 发送到 StackOverflow 域,然后将 getAllResponseHeaders() 的结果保存到字符串中,用正则表达式输出 cookie,然后发布该结果到外部域。看来维基百科和黑客在这一点上都同意我的观点,但我很乐意接受再教育......

啊,显然两个网站都错了,这实际上是 bug in FireFox 。 IE6 & 7 实际上是目前唯一完全支持 HttpOnly 的浏览器。

重申我所学到的一切:

  • HttpOnly 限制 IE7 和 FireFox 中对 document.cookie 的所有访问(不确定其他浏览器是否如此)
  • HttpOnly 在 IE7 中从 XMLHttpObject.getAllResponseHeaders() 的响应 header 中删除 Cookie 信息。
  • XMLHttpObject 只能提交到它们源自的域,因此不存在 Cookie 的跨域发布。

请您参考如下方法:

是的,仅 HTTP cookie 就可以满足此功能。它们仍然会收到对服务器的 XmlHttpRequest 请求。

对于 Stack Overflow,Cookie 会作为 XmlHttpRequest 请求的一部分自动提供。我不知道 Stack Overflow 身份验证提供程序的实现细节,但 cookie 数据可能会自动用于在比“投票” Controller 方法更低的级别验证您的身份。

更一般地说,AJAX 不需要 cookie。技术上只需要 XmlHttpRequest 支持(甚至是旧版浏览器上的 iframe 远程处理)即可。

但是,如果您想为支持 AJAX 的功能提供安全性,则适用与传统站点相同的规则。您需要某种方法来识别每个请求背后的用户,而 cookie 几乎总是达到此目的的手段。

In your example, I cannot write to your document.cookie, but I can still steal your cookie and post it to my domain using the XMLHttpRequest object.

XmlHttpRequest 不会发出跨域请求(正是出于您所提到的各种原因)。

您通常可以注入(inject)脚本以使用 iframe 远程处理或 JSONP 将 cookie 发送到您的域,但 HTTP-Only 会再次保护 cookie,因为它无法访问。

除非您在服务器端破坏了 StackOverflow.com,否则您将无法窃取我的 cookie。

Edit 2: Question 2. If the purpose of Http-Only is to prevent JavaScript access to cookies, and you can still retrieve the cookies via JavaScript through the XmlHttpRequest Object, what is the point of Http-Only?

考虑这种情况:

  • 我找到了将 JavaScript 代码注入(inject)页面的途径。
  • Jeff 加载页面,我的恶意 JavaScript 修改他的 cookie 以匹配我的。
  • 杰夫对您的问题给出了出色的答案。
  • 因为他提交的是我的 Cookie 数据而不是他的,所以答案将成为我的。
  • 您对“我的”出色答案投了赞成票。
  • 我的真实账户明白了这一点。

使用 HTTP-Only cookie,第二步将是不可能的,从而挫败了我的 XSS 尝试。

Edit 4: Sorry, I meant that you could send the XMLHttpRequest to the StackOverflow domain, and then save the result of getAllResponseHeaders() to a string, regex out the cookie, and then post that to an external domain. It appears that Wikipedia and ha.ckers concur with me on this one, but I would love be re-educated...

这是正确的。您仍然可以通过这种方式劫持 session 。不过,即使是能够成功执行针对您的 XSS 攻击的人也确实大大减少了。

但是,如果您回到我的示例场景,您可以看到 HTTP-Only确实成功地切断了依赖于修改客户端 cookie 的 XSS 攻击(并不罕见)。

归结为这样一个事实:

a) 没有任何一项改进可以解决所有漏洞,

b) 没有任何系统永远是完全安全的。

HTTP-Only 抵御 XSS 的有用工具。

同样,即使对 XmlHttpRequest 的跨域限制不能 100% 成功地阻止所有 XSS 攻击,您仍然不会梦想取消该限制。

转自:ajax之HttpOnly cookie 如何与 AJAX 请求配合使用_编程设计_ITGUEST

顺其自然~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
httpwebreqeust读取httponlycookie方法
08-31
下面小编就为大家带来一篇httpwebreqeust读取httponlycookie方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
PHP设置CookieHTTPONLY属性方法
10-20
下面小编就为大家带来一篇PHP设置CookieHTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
.net 获取浏览器Cookie(包括HttpOnly)实例分享
10-26
介绍了.net 获取浏览器Cookie(包括HttpOnly)实例,有需要的朋友可以参考一下
ajajx请求php能设置cookie,为什么在AJAX请求返回后浏览器没有设置cookie
weixin_29777019的博客
03-11 231
我正在使用$ .ajax发出ajax请求。 响应中设置了Set-Cookie标头(我已经在Chrome开发工具中对此进行了验证)。 但是,浏览器在收到响应后不会设置cookie! 当我导航到域中的另一个页面时,不会发送cookie。 (注意:我没有执行任何跨域的ajax请求;该请求与文档位于同一域中。)我想念什么?编辑:这是我的ajax请求的代码:$.post('/user/login', JSO...
cookie httponly ajax,你真的知道 Cookie 吗? SameSite 、 Secure 、 HttpOnly
weixin_33921444的博客
08-05 535
这两天(已经是一个多月前了) SF 上面很多 cookie 的问题,然后还有个 cookie 相关的付费问答。所以咱们今天来这么一节,废话多说点,先说说大体问题方向。跨域如何携带 cookiechrome 80 版本加强隐私。SameSite=Lax 为默认值,禁止了一部分场景携带 cookieCookie用于服务端辨别用户身份,储存在用户本地的数据。可以解决客户端与服务端会话状态的问题,这个状...
cookie httponly ajax,为什么jquery的.ajax()方法没有发送我的会话cookie
weixin_34620658的博客
08-05 398
通过$.ajax()登录到站点后,我正在尝试向该站点发送第二个$.ajax()请求 - 但是当我检查使用FireBug发送的标头时,请求中不包含会话cookie 。我究竟做错了什么?#1楼我遇到了同样的问题并做了一些检查我的脚本只是没有得到sessionid cookie。我通过查看浏览器中的sessionid cookie值得出结论,我的框架(Django)默认使用HttpOnly传递sessi...
cookie httponly ajax,Jquery Ajax CORS + HttpOnly Cookie
weixin_34521351的博客
08-05 227
I have got CORS working on my current project, although one thing I cannot seem to get working correctly is the cookies.Now I get the cookie fine, the server issues it and sends it down and firefox ac...
cookie httponly ajax,HostOnly CookieHttpOnly Cookie
weixin_39964660的博客
08-05 399
怎么使用Cookie?通常我们有两种方式给浏览器设置或获取Cookie,分别是HTTP Response Headers中的Set-Cookie Header和HTTP Request Headers中的Cookie Header,以及通过JavaScript对document.cookie进行赋值或取值。rfc6265第5.2节定义的Set-Cookie Header,除了必须包含Cookie正...
java ajax cookies_HttpOnly cookie如何处理AJAX请求
weixin_39996101的博客
02-13 322
如果在具有基于cookie的访问限制的站点上使用AJAX,则JavaScript需要访问cookie . HttpOnly cookies会在AJAX网站上运行吗?编辑:如果指定了HttpOnly,Microsoft通过禁止JavaScript访问cookie创建了一种防止XSS攻击的方法 . FireFox后来采用了这个 . 所以我的问题是:如果你在一个网站上使用AJAX,比如StackOv...
怎么使Ajax设为同步和异步
z13903931414的博客
05-21 291
Ajax(Asynchronous JavaScript and XML)最初的设计就是异步的,这意味着当发送请求时,浏览器不会等待服务器的响应就会继续执行后续的JavaScript代码。然而,有时你可能需要同步请求,即浏览器会等待服务器的响应,然后再继续执行后续的JavaScript代码。因此,如果你正在使用jQuery并且需要同步请求,你可能需要寻找其他方法或库来实现你的需求。总的来说,尽管有时可能需要同步请求,但你应该尽量避免使用它们,并尽可能利用异步请求的优势来提供更好的用户体验。
AJAX
2301_80480494的博客
05-16 979
Ajax全称为Asynchronous Javascript And XML,即异步JS和XMLAJAX不是新的编程语言,而是一种将现有的标准组合在一起使用的新方式通过Ajax可以在浏览器中向服务器发送异步请求无刷新获取数据,先展示页面,需要时获取数据XML:可扩展标记语言,被设计用来传输和存储数据XML和HTML类似,不同点:HTML中都是预定义标签,XML中没有预定义标签,全是自定义标签,用来表示一些数据现在已被JSON取代。
【中石化易派客注册/登录安全分析报告-Ajax泄漏验证码导致安全隐患】
05-17 1173
易派客作为中石化的旗下子公司, 顺应“互联网+”国家发展战略,根植于中国石化的坚实产业链、采购管理实践及信息化新成果,探索铸就的“互联网+供应链”电商平台,但本次测评时,图形验证码在后台直接输出, 这就明白的告诉攻击者,答案已经给你了,不需要进行图形识别不过,前端的水平的确可以, 在前端完成了超级无法的加干扰线、文字扭曲等展示,可惜最终如皇帝的新装, 等于没有。总之作为实力雄厚的国有大企业,出现这么严重的低级问题!在业界面前被打脸, 对不起自己的能源行业巨头地位!
【Vue】Vue中的Ajax
低调做人,低调编码,神码都是浮云
05-18 608
Vue中的ajax、插槽、vuex等
Ajax原生介绍
weixin_44201223的博客
05-21 312
AJAX = Asynchronous JavaScript and XML(异步的 JavaScript 和 XML)。AJAX 不是新的编程语言,而是一种使用现有标准的新方法。AJAX 最大的优点是在不重新加载整个页面的情况下,可以与服务器交换数据并更新部分网页内容。AJAX 不需要任何浏览器插件,但需要用户允许 JavaScript 在浏览器上执行。XMLHttpRequest 只是实现 Ajax 的一种方式。
前端开发工程师——ajax
[ 「今でもあなたは私の光。」❤️如今你依旧是我的光。
05-11 380
终端输入请求报文/响应报文。
自己写的逆向案例六——某小说小说内容解密
m0_57265868的博客
05-15 465
如果不是 200,说明请求出现了问题,可能是服务器返回了错误信息。这段代码是一个 AJAX 请求,用于获取某个 URL 返回的内容。可能是对返回的内容进行解码或处理,但是具体实现在代码中没有给出。字段,并去除首尾空白。应该是一个变量,表示请求的 URL。请注意,给定的代码片段中缺少了一些上下文信息,特别是关于函数。这是某一章小说解密,多章小说解密爬取,可以自己去想想。复制解密函数,稍微改写,在Nodejs环境中解密。,并传递空字符串和数字 2 作为参数。,并传递空字符串和数字 2 作为参数。
03-02-Vue组件之间的传值
最新发布
weixin_48053866的博客
05-21 512
我们接着上一篇文章03-01-Vue组件的定义和注册来讲。父组件子组件互相传值
前端面试题日常练-day19 【面试题】
qq_44640575的博客
05-18 279
AJAX是A. Asynchronous JavaScript and XML的缩写。它是一种用于**在不刷新整个网页的情况下发送和接收数据的技术。尽**管XML在创造AJAX时非常流行,但现在AJAX也广泛用于处理其他数据格式,如JSON。
Cookie 的跨站点请求伪造(CSRF)攻击 如何用ajax
06-02
使用 Ajax 发送请求时,也需要考虑防止 CSRF 攻击。下面是一些防御 CSRF 攻击的方法: 1. 在发送请求时,在请求头中添加一个自定义的 Token,服务器在接收到请求时需要验证该 Token 是否合法。攻击者无法伪造该 Token,因此可以有效防止 CSRF 攻击。 2. Cookie 设置为 HttpOnly 属性,防止 JavaScript 读取 Cookie。这样攻击者就无法通过 JavaScript 获取到用户的 Cookie,从而无法伪造用户的操作请求。 下面是一个使用 Ajax 发送请求时防御 CSRF 攻击的示例: ```javascript // 获取 CSRF Token function getCSRFToken() { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = cookies[i].trim(); if (cookie.indexOf('csrfToken=') === 0) { return cookie.substring('csrfToken='.length, cookie.length); } } return null; } // 发送请求 function sendRequest() { var xhr = new XMLHttpRequest(); xhr.open('POST', '/api/someapi', true); xhr.setRequestHeader('X-CSRF-Token', getCSRFToken()); // 添加 CSRF Token xhr.onreadystatechange = function () { if (xhr.readyState === 4 && xhr.status === 200) { // 处理响应 } }; xhr.send(); } ``` 在这个示例中,我们通过 getCSRFToken 函数获取 CSRF Token,并在请求头中添加 X-CSRF-Token 属性。服务器在接收到请求时会验证该 Token 是否合法,从而防止 CSRF 攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值