httponly对XSS***的作用

最新推荐文章于 2023-12-28 16:15:11 发布
最新推荐文章于 2023-12-28 16:15:11 发布
阅读量107 收藏 1
点赞数
文章标签: python javascript ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34354945/article/details/85115368
版权

最近在用python的flask框架写东西,顺便把httponly的作用拿出来说下,主要是防止XSS漏洞***。

以下hello.py都是用flask写的

wKioL1RHVVjgMx2WAAEL-jYlx7k916.jpg

代码里加入两个cookie值,其中一个带有httponly标签,另一个不带httponly标签。

index.html里就是一句简单的XSS测试js代码

<html>
<h1>This page contains a cookie!</h1>
<script type="text/javascript">alert(document.cookie)</script>
</html>

启动flask的web server

python hello.py

访问http://192.168.118.142:5000/login  

wKiom1RHV02T7rcSAAEPrOJ73uw584.jpg


alert弹框只获取到了第一个cookie里的session id和值。可以用chrome插件看看http response header

wKioL1RHWH3SJ3IHAANHYLE_5Fo347.jpg

第二条cookie因为有了httponly的标签,所以没有被获取到。

由此我们可以看到httponly对XSS***的作用,但是凡事不是绝对的,有些特定情况还是可以绕过,以后再分析一下。good luck!

weixin_34354945
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss防御之php利用httponlyxss攻击
10-26
主要介绍了xss防御之php利用httponlyxss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器,当其他用户访问同一页面时,脚本将在用户的浏览器中执行。 2. **反射型XSS**:非持久性,恶意脚本通过URL参数传递,用户点击链接或者提交表单后,...
Cookie中的HttpOnly属性和XSS攻击
AGreatLoser
06-27 5575
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击(XSS)的防护。将 Cookie 的httpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
【每天学习一点新知识】XSS如何绕过HttpOnly获取Cookie以及XSS与CORS漏洞利用
RexHa的博客
10-27 5629
Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。
关于如何处理httpOnly的问题?
高性价比服务器就选:蓝易云
08-23 1008
时,它限制了JavaScript的访问权限,使得只有在HTTP请求中可以读取和修改该cookie,而无法通过JavaScript来获取其值,从而增加了防止跨站点脚本攻击(XSS)的安全性。属性,并采用其他机制进行数据传递,以确保安全性和保护用户的敏感信息。希望以上解答对你有帮助。如果你有任何其他问题,请随时提问。的问题需要在服务器端和前端进行合作,合理设置。的问题是在Web开发中重要的安全考虑之一。是一种cookie属性,当设置为。
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
liuqinhou的博客
06-06 1780
1.什么是HttpOnly?如果您在cookie中设置了HttpOnly属性,那么通过将无法读取到cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie。
[小迪安全27天]绕过httponly
weixin_54252904的博客
06-06 3614
httponly(只是限制了cookie被盗取) HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话) 通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。 使用xss盗取的cookie为空 表单劫持(没有保存密码) 通过xss平台的表单劫持模块,填写目标表单所对应的属性 这里小
XSS防攻击实现
05-09
DOM型XSS利用了JavaScript对DOM(Document Object Model)的动态操作,使恶意脚本在用户的浏览器端执行。 为了防止XSS攻击,我们可以采取以下策略: 1. **输入验证**:对用户提交的数据进行严格的验证和过滤,限制...
XSS跨站脚本攻击课件
11-24
XSS(Cross-Site Scripting)跨站脚本攻击是网络攻防领域中的常见威胁,攻击者利用这种技术向网页中注入恶意脚本,进而对用户的信息安全构成严重风险。由于浏览器通常无法区分合法与恶意脚本,因此在未采取适当防护...
HTTP Only下的XSS攻击
永远是少年
11-23 1393
今天继续给大家介绍渗透测试相关知识,本文主要内容是HTTP Only下的XSS攻击。 一、设置HTTP Only后XSS攻击手段 二、表单劫持绕过HTTP Only获取用户名密码 三、读取浏览器记住的明文密码
什么是http-only?这个是干什么用的?
热门推荐
qq_43348375的博客
10-28 1万+
敲黑板:http-only能够有效地防止XSS攻击。 1、什么是http-only? HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话) 通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。 2、这个是干什么用的?其他相关点! 大多数XSS攻击都是针对会话cookie的盗窃。后端服务器可以通
第27天:WEB漏洞~XSS跨站~代码及httponly绕过
廖一语山的博客
09-12 1473
来自小迪的培训视频笔记
【网络安全】XSS如何绕过HttpOnly获取Cookie以及XSS与CORS漏洞利用
最新发布
A1_3_9_7的博客
12-28 1110
所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。其中,如果你等保模块学的好,还可以从事等保工程师。
利用HTTP-only Cookie缓解XSS之痛
ellis2008的专栏
03-11 987
<br /> 利用HTTP-only Cookie缓解XSS之痛<br /> 在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie。 <br />我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only cookie来保护敏感数据,最后介绍了实现HTTP-only cookie时确定浏览器版本的具体问题。<br />一、XSS与HTT
HttpOnly绕过+常用标签
NSQ0207的博客
07-25 343
HttpOnly绕过如果在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止xss作用:仅仅是防止通过js脚本读取到cookie信息利用xss漏洞,在源代码上输入脚本(xss平台脚本),可进行表单劫持可绕过的两种方式:浏览器保存账号面:产生在后台的XSS,例如存储型XSSxss平台直接接收。浏览器未保存读取密码:需要xss产生于登录地址,利用表单劫持常用标签一、无过滤情况
利用HTML5的CORS特性绕过httpOnly的限制实现XSS会话劫持
Fly_鹏程万里
09-17 2187
0×00. 前言  有时候我们遇到一个存储型XSS 漏洞,但是sessionId设置了httpOnly,劫持不了会话,显得很鸡肋,让渗透测试人员很蛋疼,不过这种情况正在好转,随着HTML5的流行,通过HTML5 的CORS功能实现跨域通信,建立HTTP tunnel通信,实现会话劫持已经变成可能,本文就通过实测验证HTML5的CORS条件下的xss会话劫持的可行性。 关于HTML5 的CORS...
Web漏洞-XSS跨站之代码及Http Only绕过-XSS Labs靶场详细通关教程-WAF绕过及安全修复
ran的博客
03-29 1969
如果您在cookie中设置了HttpOnly属性,那么通过is脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。如果httponly出现的话,使用XSS来获取cookie基本就可以被拦截下来。那么由此我们就会想到,如果遇到了httponly后,我们需要怎么进行操作呢?首先要想到的是,它知识阻止cookie被我们获取到,但是不会阻止跨站语句的执行。Web漏洞-XSS跨站之代码及Http Only绕过-XSS labs靶场详细通关教程-WAF绕过及安全修复
2021/12/7 HttpOnly绕过,xss-labs
weixin_44532761的博客
12-09 589
小迪 涉及资源及参考 https://www.bilibili.com/video/BV1JZ4y1c7ro?p=26&spm_id_from=pageDriver cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,但是并不能防止xss漏洞只能是防止cookie被盗取。 ...
第27天-WEB 漏洞-XSS 跨站之代码及 httponly 绕过
MCTSOG的博客
03-12 1094
代码类过滤:Xsslabs HttpOnly 属性过滤防读取 绕过 httponly: 浏览器未保存帐号密码:需要 xss 产生登录地址(漏洞产生在登录界面),利用表单劫持 浏览器保存帐号密码:浏览器读取帐号密码 知识补充 参考文章: 利用HTTP-only Cookie缓解XSS之痛 什么是HttpOnly - OSCHINA - 中文开源技术交流社区 XSS与HTTP-only Cookie简介 为了缓解跨站点脚本攻击带来的信息泄露风险,Internet Explorer 6 SP1为Cookie引.
httponly作用
06-07
这种属性的作用是增强网站的安全性,减少跨站点脚本攻击(XSS)的可能性,因为攻击者无法通过JavaScript来读取或修改cookie值,从而保护用户的敏感信息。当设置HttpOnly属性时,浏览器会禁止通过document.cookie属性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值