信息安全-前端防止XSS攻击窃取cookie内容

最新推荐文章于 2023-06-27 15:11:49 发布
最新推荐文章于 2023-06-27 15:11:49 发布
阅读量851 收藏
点赞数
分类专栏: 信息安全 文章标签: 前端 xss javascript httponly
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/philip502/article/details/121967729
版权

1.什么是HttpOnly?

如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

2.HttpOnly的设置样例

java设置

response.setHeader( "Set-Cookie" , "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
  例如:
//设置cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")


//设置多个cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");


//设置https的cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但只有使用后端编码才能读取。

Cookie cookies[]=request.getCookies(); 

码者人生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Cookie如何防范XSS攻击
liuhao9999的博客
03-22 4122
XSS(跨站脚本攻击)是指攻击者在返回的HTML中嵌入javascript脚本,为了减轻这些攻击,需要在HTTP头部配上,set-cookiehttponly-这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。 secure - 这个属性告诉浏览器仅在请求为https的时候发送cookie。 结果应该是这样的:Set-Cookie=..... ......
前端安全系列:如何防止XSS攻击
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
前端面经 Cookie如何防范XSS攻击
Ahua_Core的博客
03-05 2790
XSS即跨站脚本攻击,是攻击者在返回的HTML中嵌入JavaScript脚本。 防范XSS攻击 在HTTP头部上配置,set-cookie 有两个属性可以防止XSS攻击 httponly - :这个属性可禁止JavaScript访问Cookie,故可以保护Cookie不被嵌入的恶意代码所获取。 secure - :这个属性告诉客户端浏览器仅当在https请求时发送Cookie 如: response.setHeader("Set-Cookie", "cookiename=httponlyTest;Pat
Cookie 如何防范 XSS 攻击
超级罗伯特的博客
03-29 206
httponly-这个属性可以防止 XSS,它会禁止 javascript 脚本来访问 cookieXSS(跨站脚本攻击)是指攻击者在返回的 HTML 中嵌入 javascript 脚本,为了减轻这。secure - 这个属性告诉浏览器仅在请求为 https 的时候发送 cookie。结果应该是这样的:Set-Cookie=.....
实战:存储型XSS攻击获取Cookie及防御
qq_43535990的博客
11-06 7476
实战:存储型XSS攻击获取Cookie及防御一、存储型XSS攻击原理二、搭建测试网站1.phpstudy开启Apache和mysql服务2.搭建数据库3.创建网站文件4.书写代码三、创建xss攻击文件四、上传payload获得用户Cookie 一、存储型XSS攻击原理 在讲解存储型XSS攻击之前,我们要先明白XSS是个什么东西。 XSS(Cross Site Scripting)跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意
Cookie中的httponly的属性和作用
weixin_30235225的博客
08-21 283
1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookieXSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽...
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
前端安全:如何防止CSRF攻击?
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
如何防止xss跨站脚本攻击(代码说明)
jingdianjiuchan的博客
03-19 3168
在上述代码中,使用contentSecurityPolicy选项来设置CSP策略,可以通过不同的源策略来限制不同类型的资源的加载。在Vue.js中可以使用{{}}语法来显示动态内容,需要注意的是,需要对显示的内容进行转义,从而避免XSS攻击。在上述代码中,使用escape方法来转义输出的内容,使用正则表达式来匹配需要转义的字符,并使用替换函数来替换字符,从而实现转义输出的功能。需要注意的是,转义输出并不是万能的,有些字符可能会被转义后失去原来的含义,因此还需要使用其他的防御措施来提高网站的安全性。
Cookie中设置了 HttpOnly,Secure 属性,有效的防止XSS攻击,X-Frame-Options 响应头避免点击劫持...
weixin_34214500的博客
12-14 2281
属性介绍: 1) secure属性当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输(ssl),即 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证, 如果是 HTTP 连接则不会传递该信息,所以不会被窃取Cookie 的具体内容。 2 )HttpOnly属性如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)...
如何防止XSS攻击
m0_49521873的博客
05-23 5841
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
[译] 如何使用 HTTP Headers 来保护你的 Web 应用
weixin_33929309的博客
04-18 147
原文地址:How To Secure Your Web App With HTTP Headers 原文作者:Hagay Lupesko 译文出自:掘金翻译计划 译者:bambooom 校对者:xunge0613、lsvih 如何使用 HTTP Headers 来保护你的 Web 应用 众所周知,无论是简单的小网页还是复杂的单页应用,Web 应用都是网络攻击的目标。2016 年,这种最主要...
WEB安全防御总结 : 列举漏洞及修复建议
了解—学习—进步—满足
09-09 2119
一. 不安全的第三方链接: 漏洞简介: 在新打开的页面中可以通过 window.opener获取到源页面的部分控制权,即使新打开的页面是跨域的也照样可以 修复建议: 在a标签中加入rel="noopener noreferrer"属性 处理方式: 二. 纵向越权: 漏洞简介: 对需要认证的web应用程序,直接使用不登陆鉴权的方式进行探测,检查是否能够正常访问,可能会升级用户特...
前端安全-XSS
WLANQY的博客
02-07 278
XSSXSS 是 Cross-site scripting 的简称,为了与 CSS (层叠样式表)区分使用了 X。通俗来说就是跨站点脚本攻击,通过在客户端注入可执行脚本的方式来实现攻击。如果你对 XSS 没有直观的认识,我推荐你在 Google 的这个XSS game的网站体验一下,如何实现 XSS 攻击,有6个有趣的小游戏,需要你亲手试试看,网上也能找到对应的参考答案。在站点注入脚本之后,黑客就可以通过脚本做很多的“坏事”,例如:窃取Cookie信息、监听用户行为、修改DOM和在页面生成浮窗广告。
Cookie中的HttpOnly属性和XSS攻击
最新发布
AGreatLoser
06-27 3290
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击(XSS)的防护。将 CookiehttpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
liuqinhou的博客
06-06 1512
1.什么是HttpOnly?如果您在cookie中设置了HttpOnly属性,那么通过将无法读取到cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie
前端安全中的 cookie 防护 - 加速乐(jsl)
Spontaneous_0的博客
02-15 234
前端安全中的 cookie 防护 - 加速乐(jsl)
XSS攻击防范
weixin_55684314的博客
05-30 288
危害: 盗取用户信息 网页挂马,进行恶意操作 制造蠕虫 劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、发送电子邮件等 强制弹出广告页面等 网络钓鱼等 防范: 一般的浏览器都内置了防范XSS的方法,例如CSP(Content Security Policy,内容安全策略)可防范简单XSS攻击。但对于完全防范来说,还需要更高级的方案。 httponly HttpOnly防止cookies被劫持的最常用方法之一。cookie只能通过HTTP协议读取(HTTPS也可以)。cookie
阻止第三方 cookie_如何在每个Web浏览器中阻止第三方Cookie
culul01313的博客
09-12 7223
阻止第三方 cookieInternet cookies have been around since the beginning of the web, and for the most part they serve a useful purpose. Butwhile most cookies are fairly innocuous, andeven necessary, some a...
前端安全】JavaScriptXSS攻击
05-23
XSS(Cross-site scripting)攻击是指攻击者利用Web应用程序没有对用户提交的数据进行足够的验证和过滤,从而在Web...5. 在HTTP响应头中设置`X-XSS-Protection`,这可以告诉浏览器启用内置XSS过滤器,从而防止XSS攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码者人生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值