クッキーをセットするときのモードXSS攻撃
XSS攻撃の多くはユーザのクッキー情報を取得するためであり,jsによってsrcを設定することでクッキーを別のサーバに転送することが最も多いことが知られている.
では、jsがクッキーを取得するのを防止するにはどうすればいいのでしょうか.PHPを例にとると、setcookieのときは後ろのパラメータをあまり書かないので、基本的に日付を書けばいいのです.他はデフォルトでいいので、パラメータの設定を見てみましょう.
bool setcookie ( string
後ろの$httponlyは何に使いますか?彼らは実はhttpの下でクッキーを送信するだけを設定しています.例えば、$httponlyをtrueに設定して、jsでクッキーを取得するときは取得できません.すべてのブラウザがサポートしているわけではありませんが、クッキーを取得する方法は他にもありますが、セキュリティの脆弱性の一部を減らすことができます.
皆さんの討論を歓迎します!
では、jsがクッキーを取得するのを防止するにはどうすればいいのでしょうか.PHPを例にとると、setcookieのときは後ろのパラメータをあまり書かないので、基本的に日付を書けばいいのです.他はデフォルトでいいので、パラメータの設定を見てみましょう.
bool setcookie ( string
$name
[, string $value
[, int $expire
= 0 [, string $path
[, string $domain
[, bool $secure
= false [, bool $httponly
= false ]]]]]] ) 後ろの$httponlyは何に使いますか?彼らは実はhttpの下でクッキーを送信するだけを設定しています.例えば、$httponlyをtrueに設定して、jsでクッキーを取得するときは取得できません.すべてのブラウザがサポートしているわけではありませんが、クッキーを取得する方法は他にもありますが、セキュリティの脆弱性の一部を減らすことができます.
皆さんの討論を歓迎します!