首頁 > 後端開發 > php教程 > 既然 HttpOnly 可以防止 XSS 偷取 Cookie,為什麼沒有被廣泛使用?

既然 HttpOnly 可以防止 XSS 偷取 Cookie,為什麼沒有被廣泛使用?

WBOY
發布: 2016-08-10 08:50:40
原創
1572 人瀏覽過

回覆內容:

http-only 可以防止cookie被偷取,但是卻不是萬能的,方便與安全總是背道而馳的。在開發上面,除非整體架構一開始部署httponly,這樣後期維護成本相對較低。否則到了後期,普遍想部署httponly就相對困難了。主要體現在:業務線很長的情況下,部署httponly就等於牽一發而動全身了。
以騰訊為例:你會發現他裡面有一段程式碼:
document.domain="qq.com*";
即不同的二級網域*. //qq.com甚至更多級網域都能同步cookie等使用者資訊。 這樣帶來的是使用者體驗的提升,但是,也為安全問題埋下了伏筆。
騰訊的一個二級網域xss能做什麼?可以看看pkav的這個影片:

既然 HttpOnly 可以防止 XSS 偷取 Cookie,為什麼沒有被廣泛使用? 網路真的安全麼? http://v.qq.com/boke/play/t/v/m/t1063qxrovm.html?_out=102 ,總結了這麼多,上面寫著: 、httponly普及【廣泛使用】與否還得看場景,脫離場景談論httponly就是耍流氓。
2、httponly並不是萬能的。 Apache的cve-2012-0053能突破httponly。
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板