P3P(个人隐私安全平台项目)作为一种在线隐私保护标准,允许互联网用户控制个人信息是否被第三方收集。它通过设定隐私策略,告知访问者网站收集的信息类型、信息用途及保留时间。本文介绍P3P如何实现跨域设置Cookie,以及其对CSRF攻击的影响。
什么是P3P
P3P(The Platform forPrivacy Prefrences Project)是一种被称为个人隐私安全平台项目的标准,能够保护在线隐私权,使Internet冲浪者可以在选择浏览网页时,是否被第三方收集利用自己的个人信息。如果一个站点不遵守P3P标准的话,那么有关它的Cookies将会被自动拒绝,并且P3P还能够自动识别多多种Cookies的嵌入方式。
P3P标准的构想是:Web站点的隐私策略应该告知访问者该站点所收集的信息类型、信息将提供给那些人、信息将被保留多少时间及其使用信息的方式。
P3P实现跨域设置Cookie
实现过程:
http://www.b.com/set_cookie.php 在b域名下设置a域名的cookie
<script src="http://www.a.com/set_cookie.php"></script>
http://www.a.com/get_cookie.php 在a域名下获取cookie
print_r($_COOKIE)
http://www.a.com/set_cookie.php 在a域名下设置a域名的cookie
1.header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM
STA PRE COM NAV OTC NOI DSP COR"');
setcookie("test", "test value", time()+3600, "/")
实现过程
访问http://www.b.com/set_cookie.php,然后访问http://www.a.com/get_cookie.php就可以获取到cookie
P3P头的副作用
虽然有些CSRF攻击实施不需要认证,不需要发送Cookie。但是,很多敏感的和重要的操作都是隐藏在认证之后的,因此浏览器拦截第三方的cookie发送,在某种意义上来说降低了CSRF攻击力。
通过上面的例子,我们可以看到由于P3P头的介入,改变了a.com的隐私策略,从而可以使<ifream><script>等标签在IE中不再拦截第三方的Cookie发送。而且P3P头只需要由网站设置一次即可,之后的每次请求都会遵循该策略,且不需要重复设置。
下方查看历史文章
Apache Tomcat 文件包含漏洞复现
awk对apache访问日志的处理
CTF平台搭建:CanHackMe
扫描二维码
获取更多精彩
NowSec
扫一扫
1289
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
