Maison > développement back-end > tutoriel php > 既然 HttpOnly 可以防止 XSS 偷取 Cookie,为什么没有被广泛使用?

既然 HttpOnly 可以防止 XSS 偷取 Cookie,为什么没有被广泛使用?

WBOY
Libérer: 2016-08-10 08:50:40
original
1568 Les gens l'ont consulté

回复内容:

http-only 可以防止cookie被偷取,但是却不是万能的,方便与安全总是背道而驰的。在开发上面,除非整体架构一开始部署httponly,这样后期维护成本相对较低。否则到了后期,普遍想部署httponly就相对困难了。主要体现在:业务线很长的情况下,部署httponly就相当于牵一发而动全身了。
以腾讯为例子:你会发现他里头有一段代码:
document.domain="qq.com";
即不同的二级域名*.qq.com乃至更多级域名能同步cookie等用户信息。
这样带来的是用户体验的提升,但是,也给安全问题埋下了伏笔。
腾讯的一个二级域名xss能做什么?可以看看pkav的这个视频:
既然 HttpOnly 可以防止 XSS 偷取 Cookie,为什么没有被广泛使用? 互联网真的安全么? http://v.qq.com/boke/play/t/v/m/t1063qxrovm.html?_out=102 嗯,上面说了这么多,总结一下:
1、httponly普及【广泛使用】与否还得看场景,脱离场景谈论httponly就是耍流氓。
2、httponly并不是万能的。Apache的cve-2012-0053能突破httponly。
source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal