如何防止cookie被串改

Posted on 2018-03-30 15:54 沉迷web的小熊孩 阅读() 评论() 编辑 收藏

在这里我不想多说怎么去操作cookie了,网上博文一大堆,大家可以去自行搜索,在这里也是记录一下自己的知识,以便以后方便查阅。当我们在浏览器地址栏输入地址成功打开网页以后,服务器会把一些信息写入cookie中,但是当我们的网页是可以引入第三方的js的,如果第三方的js文件中有恶意的代码,就可以获取当前页面的cookie,例如:我们当前页面在wwwexample.com,并且在当前页面中引入了www.foo.com/jquery.js,jquery中的恶意代码就可以获取当前页面的cookie,为了解决这个问题,服务器在设置Cookie时可以使用httpOnly,设定了httpOnly的Cookie将不能被JavaScript读取。这个行为由浏览器实现,主流浏览器均支持httpOnly选项

<!-- 当前页面在wwwexample.com -->
<html>
    <head>
        <script src="http://www.foo.com/jquery.js"></script>
    </head>
    ...
</html>
版权声明:本文为zhanghanghang原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/zhanghanghang/p/8676651.html