> 백엔드 개발 > PHP 튜토리얼 > HttpOnly는 XSS가 쿠키를 훔치는 것을 방지할 수 있는데 왜 널리 사용되지 않습니까?

HttpOnly는 XSS가 쿠키를 훔치는 것을 방지할 수 있는데 왜 널리 사용되지 않습니까?

WBOY
풀어 주다: 2016-08-10 08:50:40
원래의
1568명이 탐색했습니다.

답글 내용:

http-only는 쿠키 도난을 방지할 수 있지만, 편의성과 보안이 항상 상충되는 것은 아닙니다. 개발 측면에서는 처음에 전체 아키텍처를 httponly로 배포하지 않는 한 이후 유지 관리 비용이 상대적으로 낮습니다. 그렇지 않으면 이후 단계에서 일반적으로 httponly를 배포하는 것이 상대적으로 어려울 것입니다. 주로 반영: 비즈니스 라인이 매우 긴 경우 httponly를 배포하는 것은 몸 전체에 영향을 미치는 것과 같습니다.
Tencent를 예로 들면 다음과 같은 코드가 있습니다.
document.domain="qq.com ";
즉, 다른 2차 도메인 이름*.qq.com 더 높은 수준의 도메인 이름이라도 쿠키와 같은 사용자 정보를 동기화할 수 있습니다.
이는 사용자 경험을 향상시키지만 보안 문제를 예고하기도 합니다.
Tencent의 2차 도메인 이름 xss는 무엇을 할 수 있나요? pkav에서 다음 동영상을 시청할 수 있습니다.
HttpOnly는 XSS가 쿠키를 훔치는 것을 방지할 수 있는데 왜 널리 사용되지 않습니까? 인터넷은 정말 안전한가요? http://v.qq.com/boke/play/t/v/m/t1063qxrovm.html?_out= 102 위에서 말한 내용이 전부입니다. 요약하자면:
1. httponly가 대중화될지 [널리 사용되는지]는 시나리오에 따라 다릅니다.
2. httponly는 만병통치약이 아닙니다. Apache의 cve-2012-0053은 httponly를 뚫을 수 있습니다.
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿