- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
阅读this blog post about HttpOnly cookies让我开始思考,是否有可能通过任何形式的 XSS 获取 HttpOnly cookie? Jeff 提到它“大大提高了标准”,但听起来它并不能完全防范 XSS。
除了并非所有浏览器都正确支持此功能这一事实之外,如果用户的 cookie 是 HttpOnly,黑客如何才能获取这些 cookie?
我想不出任何方法可以让 HttpOnly cookie 将自身发送到另一个站点或由脚本读取,所以看起来这是一个安全的安全功能,但我总是惊讶于有些人可以如此轻松地做到这一点解决许多安全层问题。
在我工作的环境中,我们只使用 IE,因此其他浏览器不存在问题。我正在专门寻找其他方法,使这可能成为一个不依赖于浏览器特定缺陷的问题。
最佳答案
NOTE this answer is outdated, and XST is unlikely to be exploitable in almost any modern scenario. Other parts of the answer might be relevant, but there are other more modern techniques.
首先,正如其他一些人提到的,XSS 可以允许其他有效负载,而不仅仅是 cookie 窃取。
但是,是否可以通过 XSS 窃取 httpOnly cookie? (忽略httpOnly支持的问题?)....答案是:可以。
XSS 的一个子集称为 Cross-Site Tracing (XST) (或转到原始 research paper )。此攻击让 XSS 有效负载向 Web 服务器发送 HTTP TRACE 请求(或 proxy,正向或反向),这将向客户端回显完整的请求 - 包括您的 COOKIES,无论是否为 http。然后,XSS 有效负载可以解析返回的信息,并检索那些美味的 cookie...
顺便说一句,XSS 的另一个“子集”(有点)涉及将有效负载注入(inject)到响应 header 中。虽然类似,但这完全不是 XSS, header 注入(inject)甚至可能导致 HTTP Response Splitting (HRS) - 功能更强大,允许几乎完全控制其他客户端、缓存中毒,当然还可以访问 cookie,如果愿意的话。
关于security - XSS攻击是否有可能获取HttpOnly cookie?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/228138/
我们有一个使用 OC4J 容器在 Oracle 应用服务器 J2EE 10g 10.1.3.5.0 上运行的旧应用程序。要清除 Veracode 动态扫描缺陷 CWE ID-402(以及最佳实践),我
我已在响应 header Set-Cookie 中设置了 HttpOnly 标志,如下所示 String sessionid = httpReq.getSession().getId(); httpR
我使用的是 Servlet 3.0,我想用 HttpOnly 标志保护我的 cookie。我的 web.xml 是 true
服务器已在浏览器上设置了一个仅限 http 的 cookie uid。我需要找出这个 cookie 是否存在并在我的 javascript 中采取一些行动。我知道 javascript 无法读取 ht
我对 cookie 中的 HTTPOnly 属性有点困惑。我知道它的主要用途是防止 XSS 攻击。让我们假设有一个 Web 应用程序为 cookie 设置了 httponly。为此,我使用了 Fidd
是否可以将 django csrf cookie 设置为仅限 http?同理SESSION_COOKIE_HTTPONLY使用 session cookie,但对于 csrf 呢? 最佳答案 新设置,
有没有办法设置请求 cookie httpOnly ?如果不是为什么我们不能设置它?我已将响应 cookie 设置为 httpOnly 使用 weblogx.xml/weblogic 服务器。 最佳答
哪些浏览器支持 HttpOnly cookie,从哪个版本开始支持? 请参阅http://www.codinghorror.com/blog/archives/001167.html有关 HttpOn
我们使用 JQuery AJAX 登录。登录服务发出 HTTP 302,位置是登录用户的 GET,或者(在登录失败的情况下)始终返回未经授权的 HTTP 状态的 REST 端点。在 302 的同时,我
我在创建 HttpOnly Cookies 时遇到问题,我使用以下代码创建新的 cookie: //A.aspx HttpCookie ht = new HttpCookie("www
我必须为服务器发送的所有 cookie 设置 httpOnly 标志。我的场景是: 使用独立的网络登录登录(我无法访问代码)。 如果成功 -> 重定向到我的 webApp。 我已成功将 httpOnl
我需要在我的java代码中将HttpOnly cookie设置为 session cookie。 为了获取非 HttpOnly cookie,我使用了 Jsoup,但现在却被 HttpOnly coo
我想使用 HttpOnly cookies,我在 Java 中设置如下: ... Cookie accessTokenCookie = new Cookie("token", userToken);
我正在开发我网站的“记住我”功能,我正在使用 session_set_cookie_params 来保持 session 有效,即使用户决定关闭他或她的浏览器也是如此。我遇到的问题是浏览器会删除 co
如果我的应用程序在客户端上放置了 HttpOnly cookie,然后需要删除它们,您如何才能完全删除它们? 最佳答案 您可以在用户访问您的网站时使 cookie 过期,例如: HttpCookie
是否可以删除设置为 HttpOnly:true 的浏览器 cookie? 我的登录端点很简单: async login(@Ip() ipAddress, @Request() req, @Res(
我相信我知道答案,但我只是想确认我没有遗漏任何东西。我们有一个网页,我们希望将 HttpOnly cookie 从 WkWebView 传回 native 代码。我已经尝试了我能想到的一切,但它不会让
我已经在我当前的项目中使用了 CORS,尽管我似乎无法正常工作的一件事是 cookie。 现在我得到了 cookie,服务器发出它并将其发送下来,firefox 接受它,我可以在 firebug co
我在 websphere 中为 jsession cookie 设置了以下属性 com.ibm.ws.webcontainer.HTTPOnlyCookies . 知道如何最好地在 Firefox 或
有没有办法以某种方式在 electron 中获取 httpOnly cookie 的值? 我在加载主应用程序之前预加载的网站会发送一个包含 key 的 httpOnly cookie。我的 http
我是一名优秀的程序员,十分优秀!