让用户通过javascript访问cookie是一个安全问题
Is letting users access cookies through javascript a security issue
我想知道允许网站用户从控制台使用javascript访问和修改cookie是否是一个安全问题?允许用户这样做会造成什么危害?它是否只在某些情况下被视为安全问题,而在其他情况下则不被视为?另外,使用HttpOnly cookie是否会阻止用户修改cookie?
您谈论的是两种不同的场景:
- 允许JavaScript读取/修改cookie
- 如果cookie被标记为HttpOnly,用户可以修改吗
1) 允许JavaScript读取/修改cookie。
您通常不希望JavaScript能够访问cookie(读取或写入)的原因是,大多数网站都使用cookie来处理网站身份验证。攻击者通常会在网站上利用跨站点脚本(XSS)进行攻击,并利用该漏洞读取身份验证cookie的值,然后将其发送到攻击者控制的服务器。
当攻击者拥有会话cookie时,攻击者有可能(取决于站点的安全性)将受害者身份验证cookie的值插入攻击者会话。然后,当他们到达目标地点时,他们被视为受害者,可以做受害者能做的任何事情。
窃取cookie并不是唯一可以通过XSS完成的事情,要了解更多信息,请参阅OWASPS-A3跨站点脚本撰写。
2) 如果cookie被标记为HttpOnly ,用户可以修改吗
是的。用户可以修改cookie、html、css、JavaScript,以及他们机器上的任何内容。这就是为什么机密永远不应该存储在客户端的计算机上,并且在证明有效之前,来自客户端/用户计算机的任何值都需要被视为不可信。
相关文章:
- 火狐中的多个问题,但在 chrome 中工作正常,没有一个问题
- 是否从超时内开始间隔是一个问题
- java脚本我需要帮助来解决一个问题
- Dreaded 100%边栏高度-jQuery修复,但另一个问题出现了
- I'我在用JavaScript进行验证时遇到了一个问题
- Jstree-Can't在AJAX调用中选中复选框,适用于经典调用.一个问题
- 我在角度指令和角度路由中有一个问题
- 我有一个问题,使用 Javascript 或 Jquery 创建具有字符串计数的动态字段
- 如何在测验应用中移动到下一个或上一个问题
- 如何创建按钮转到测验软件中的下一个问题
- 我对用php代码创建的HTML有一个问题
- 我想使用fbi . event .subscribe记录跟踪值在Facebook喜欢按钮,但遇到了一个问题
- 如果效率是一个问题,如何修改JavaScript修剪函数?
- 一个问题与大量的图像-广告画廊插件
- 新的局部变量在大的FOR循环,这是一个问题
- 我在放大分形(webgl)时遇到了一个问题
- jQuery对话框的一个问题
- 在javascript中,通过一个对象数组为每个对象发出一个问题
- 浏览器渲染网页的顺序是什么,为什么脚本阻塞是一个问题
- 闭包编译器外部解决了一个问题,但我不明白为什么