cookie的domian,path,expires,这些在cookie操作中都会经常用到
但是对于客户端浏览器来说这些都是可见的,通过document.cookie可以直接在脚本里输出,这里很容易被注入一些js脚本,获取到本地的cookie,发送到其他地方去,泄露个人隐私,也许大家会认为session安全,通常会听到某某某大侠说,session是保存在服务端的,比cookie安全,可是某某某大侠真的清楚http协议吗?http协议规范定义http是无状态协议, 那么为什么能在服务端保存状态, 建议大家看一下我写的session原理。
相信用过tomcat的人都会知道有个jsessionid这个东东,这个便是服务端为了保持客户端的状态,通常在客户端cookie里写入的jsessionid这个参数, 这个cookie的有效期是进程, 也就是关闭浏览器,即失效, 如果在客户端不支持cookie的情况下, 服务端可以通过url rewrite技术重写客户端请求url, 也就是在客户端请求url的后便加入jsessionid=xxxxxxx这样的参数,但归根结底还是在客户端保存了jsessionid这样的信息,cookie与url的参数都可以被本地植入的脚本取到, 打开firefox的firebug,,在控制台输入document.cookie;看一下,所有的cookie信息全在里边了, 在IE中可以在地址栏里直接输入javascript:alert(document.cookie);.也可以看到cookie中的信息,所以这样保存的cookie一旦被黑客注入的脚本获得到,就可以发送jsessionid这样的东东到其他地方去。
很多人使用session验证用户登录状态,包括spring security这样的安全框架,默认都是采用session来保存用户状态信息,那么一旦某个用户登录了,但是jsessionid通过黑客的脚本,就可以被发送到其他地方,黑客可以直接吧jsessionid参数贴在请求url之后,那么一切的验证就从容而破。
针对这样的问题,可以采用http only的cookie, 使得本地脚本无法获得该cookie, 只有通过http协议的程序才能使用这个cookie,加上cookie限制domian,达到防止恶意脚本泄露cookie的目的,基于原理来看http only cookie 是很简单的:
比起一般的cookie,只是在后端加入了HttpOnly的字符串,这项规范早在Internet Explorer 6 SP1就引入了(这是我第一次对微软有好感^!^),在现在的主流浏览器中,firefox,chrome都有支持,如果是这样的cookie,则在本地使用document.cookie是得不到的,浏览器已经对dom隐藏该cookie, 但是现在sun的api还未对改属性做支持,如果要在java中用到,只能手动去设置相应的cookie头,加上HttpOnly, 希望sun, 不应该是oracle了, 杯具, 尽快支持吧。
但是对于客户端浏览器来说这些都是可见的,通过document.cookie可以直接在脚本里输出,这里很容易被注入一些js脚本,获取到本地的cookie,发送到其他地方去,泄露个人隐私,也许大家会认为session安全,通常会听到某某某大侠说,session是保存在服务端的,比cookie安全,可是某某某大侠真的清楚http协议吗?http协议规范定义http是无状态协议, 那么为什么能在服务端保存状态, 建议大家看一下我写的session原理。
相信用过tomcat的人都会知道有个jsessionid这个东东,这个便是服务端为了保持客户端的状态,通常在客户端cookie里写入的jsessionid这个参数, 这个cookie的有效期是进程, 也就是关闭浏览器,即失效, 如果在客户端不支持cookie的情况下, 服务端可以通过url rewrite技术重写客户端请求url, 也就是在客户端请求url的后便加入jsessionid=xxxxxxx这样的参数,但归根结底还是在客户端保存了jsessionid这样的信息,cookie与url的参数都可以被本地植入的脚本取到, 打开firefox的firebug,,在控制台输入document.cookie;看一下,所有的cookie信息全在里边了, 在IE中可以在地址栏里直接输入javascript:alert(document.cookie);.也可以看到cookie中的信息,所以这样保存的cookie一旦被黑客注入的脚本获得到,就可以发送jsessionid这样的东东到其他地方去。
很多人使用session验证用户登录状态,包括spring security这样的安全框架,默认都是采用session来保存用户状态信息,那么一旦某个用户登录了,但是jsessionid通过黑客的脚本,就可以被发送到其他地方,黑客可以直接吧jsessionid参数贴在请求url之后,那么一切的验证就从容而破。
针对这样的问题,可以采用http only的cookie, 使得本地脚本无法获得该cookie, 只有通过http协议的程序才能使用这个cookie,加上cookie限制domian,达到防止恶意脚本泄露cookie的目的,基于原理来看http only cookie 是很简单的:
Set-Cookie ASP.NET_SessionId=h1tgc555io1lav2dfi1pqdiq; path=/; HttpOnly
比起一般的cookie,只是在后端加入了HttpOnly的字符串,这项规范早在Internet Explorer 6 SP1就引入了(这是我第一次对微软有好感^!^),在现在的主流浏览器中,firefox,chrome都有支持,如果是这样的cookie,则在本地使用document.cookie是得不到的,浏览器已经对dom隐藏该cookie, 但是现在sun的api还未对改属性做支持,如果要在java中用到,只能手动去设置相应的cookie头,加上HttpOnly, 希望sun, 不应该是oracle了, 杯具, 尽快支持吧。
2414
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
