expressでcookieのhttpOnly属性防御xss攻撃を設定します.
758 ワード
ほとんどはxss攻撃(クロスステーションスクリプト攻撃)であり、クライアントのブラウザにスクリプトを注入し、クッキーを取得してハッカーの指定されたアドレスに送信することを試みる.サービスエンドのsessionはseesion Idを記録するクッキーによって識別されるからです.ハッカーはクッキーを手に入れると、当然身分を偽造して権限を得ることができます.cookieのhttpOnly属性は、ブラウザでdocument.co okieを通じてこのクッキーにアクセスできないことを意味し、xss攻撃を防ぐ目的を達成する.
express-sessionでは、デフォルトはすでにcookieのhttpOnly:trueを開いています.原文は以下の通りです.
cookie.httpOnly
Specifies the
express-sessionでは、デフォルトはすでにcookieのhttpOnly:trueを開いています.原文は以下の通りです.
cookie.httpOnly
Specifies the
boolean
value for the HttpOnly
Set-Cookie
atribute.When truthy,the HttpOnly
atribute is set,otherswise it is not.By default,the HttpOnly
atribute is set.しかし、express自身が提供するcookieのapiのデフォルト値はfalseであり、手動でtrueに設定する必要があります.コードは以下の通りです.res.cookie('rememberme', '1', {httpOnly: true });