我有一个网站,用户可以发表评论。 我想知道,如果他们发现一个xss漏洞,他们是否仍然可以获取cookie数据,尽管它是httpOnly的某种XHTTPrequest,Ajax调用或其他类型。 这可能吗?JS | Xss防御问题
回答
JavaScript无法检索仅限HTTP的cookie。因此"HTTP-only"。
从理论上讲,是的,但是已经有攻击获得了它们。请参阅http://www.karakas-online.de/forum/viewtopic.php?t=341或https://www.owasp.org/index.php/Cross_Site_Tracing –
来源日期:2003年和2009年。几乎生活在2012年。所有当前的现代浏览器都正确实现了'httpOnly' Cookie。 –
但我不能使用某种Ajx请求来获取包含cookie值的标头吗? – funerr
- 1. jQuery XSS问题
- 2. 在c#中打开重定向防御问题#
- 3. XSS触发问题
- 4. XSS安全问题
- 5. swaping集防御性副本
- 6. Magento Xss预防
- 7. XSS预防playframework1.2.4
- 8. PHP防止xss
- 9. XSS预防PHP
- 10. XSS攻击防范
- 11. 用PHP防止XSS
- 12. XSS攻击防护
- 13. 用strip_tags()防止XSS?
- 14. PHP XSS问题/澄清
- 15. IE8 XSS/jQuery的问题
- 16. IE8 XSS过滤器问题
- 17. 在游戏中放置防御结构
- 18. 防御性编程和异常处理
- 19. 防御性编程:Java中的指导
- 20. Erlang的非防御性编程
- 21. 彩虹表:如何防御他们?
- 22. 控制服务的防御代码
- 23. XSS预防传递给JS代码文件参数
- 24. Ruby on Rails和XSS预防
- 25. 防止阵列从XSS
- 26. Json.Net Wrapper防止Xss攻击
- 27. PHP XSS预防白名单
- 28. HTML-Entity转义防止XSS
- 29. angularjs防止XSS攻击
- 30. 塔防问题
你总是可以不用纯文本写你的cookies,所以即使这样信息也不会对攻击者有任何用处 – Einacio