Web 安全 & cookies & HttpOnly
cookie
HttpOnly
禁止 js 读取 cookie 的方法
HttpOnly 实现原理
document.cookie 读不到 cookie, 无法对 HttpOnly 的 cookie 进行任何操作
Web 服务器使用 Set-Cookie header 来设置 cookie
并且,它可以设置 httpOnly 选项。
这个选项禁止任何 JavaScript 访问 cookie。
我们使用 document.cookie 看不到此类 cookie,也无法对此类 cookie 进行操作。
这是一种预防措施,当黑客将自己的 JavaScript 代码注入网页,并等待用户访问该页面时发起攻击,而这个选项可以防止此时的这种攻击。
这应该是不可能发生的,黑客应该无法将他们的代码注入我们的网站,但是网站有可能存在 bug,使得黑客能够实现这样的操作。
通常来说,如果发生了这种情况,并且用户访问了带有黑客 JavaScript 代码的页面,黑客代码将执行并通过 document.cookie 获取到包含用户身份验证信息的 cookie, 这就很糟糕了。
但是,如果 cookie 设置了 httpOnly,那么 document.cookie 则看不到 cookie,所以它受到了保护。
SameSite Cookies
HTTP cookie (web cookie, browser cookie)
An HTTP cookie (web cookie, browser cookie) is a small piece of data that a server sends to the user's web browser.
https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#SameSite_cookies
Security Cookies
refs
https://zh.javascript.info/cookie#httponly
https://segmentfault.com/a/1190000004556040
https://juejin.im/entry/6844903520076824589
©xgqfrms 2012-2020
www.cnblogs.com 发布文章使用:只允许注册用户才可以访问!