XSS即跨站脚本攻击,是攻击者在返回的HTML中嵌入JavaScript脚本。
防范XSS攻击
在HTTP头部上配置,set-cookie
有两个属性可以防止XSS攻击
- httponly - :这个属性可禁止JavaScript访问Cookie,故可以保护Cookie不被嵌入的恶意代码所获取。
- secure - :这个属性告诉客户端浏览器仅当在https请求时发送Cookie
如:
response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");