使用HttpOnly提升Cookie安全性

Posted a14907

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用HttpOnly提升Cookie安全性相关的知识,希望对你有一定的参考价值。

Http是无状态的,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,就需要用到cookie和session,很多时候都是在cookie中存储一个sessionID,服务器来识别该用户,那么安全隐患也就引申而出了,只要获得这个cookie,就可以取得别人的身份,特别是管理员等高级权限帐号时,危害就大了,而XSS就是在别人的应用程序中恶意执行一段JS以窃取用户的cookie。

 

在浏览器中的document对象中,就储存了Cookie的信息,而利用js可以把这里面的Cookie给取出来,只要得到这个Cookie就可以拥有别人的身份了。

 

 

如何保障我们的Cookie安全呢?Cookie都是通过document对象获取的,我们如果能让cookie在浏览器中不可见就可以了,那HttpOnly就是在设置cookie时接受这样一个参数,一旦被设置,在浏览器的document对象中就看不到cookie了。而浏览器在浏览网页的时候不受任何影响,因为Cookie会被放在浏览器头中发送出去(包括Ajax的时候),应用程序也一般不会在JS里操作这些敏感Cookie的,对于一些敏感的Cookie我们采用HttpOnly,对于一些需要在应用程序中用JS操作的cookie我们就不予设置,这样就保障了Cookie信息的安全也保证了应用。

 

给浏览器设置Cookie的头如下:

 

Set-Cookie: =[; =]
[; expires=][; domain=]
[; path=][; secure][; HttpOnly]

 

如果 Cookie 具有 HttpOnly 特性且不能通过客户端脚本访问,则为 true;否则为 false。默认值为 false。

 

HttpOnly在IE 6以上,Firefox较新版本都得到了比较好的支持,并且在如Hotmail等应用程序里都有广泛的使用,并且已经是取得了比较好的安全效果。

 

HttpOnly 主要是为了限制web页面程序的browser端script程序读取cookie, 实际是浏览器通过协议实现限制的,黑客可不会那么傻,肯定不会用HTTP协议来读取cookie,肯定是在socket层面写抓包程序,相当于写一个低于IE6版本的应用程序。

所以,HttpOnly并不是万能的。

 

以上是关于使用HttpOnly提升Cookie安全性的主要内容,如果未能解决你的问题,请参考以下文章

HttpOnly 与cookie安全

SessionAuthenticationModule Cookie 处理程序未创建 HttpOnly 安全 cookie

没有设置安全标志和 HttpOnly 标志的 Cookie

如何使用 JavaScript 读取 HttpOnly cookie

如何获取 httpOnly(安全)cookie TestCafe?

在 PHP 中的 PHPSESSID cookie 上设置 httpOnly 和安全