关于cookie,我应该知道些什么?
What should I know about cookies domain and scope for security purposes?
我在哪里可以了解(或什么是)关于cookie的范围,以避免对已验证用户的CSRF和XSS攻击?
例如,如果我有一个多租户系统,其中单个用户可以访问一个或多个站点,那么哪个更安全:
- company1.hoster.com
- company2.hoster.com
- company3.hoster.com
或
- www.hoster.com/company1
- www.hoster.com/company2
- www.hoster.com/company3
如果我在" host.com "设置一个cookie会发生什么?
可以分别限制cookie在域和路径中的有效范围。所以你可以在这两种情况下设置一个cookie只对特定的域名/路径组合有效:
-
仅为
//company1.example.com/
设置cookie:Set-Cookie: name=value; Path=/
省略Domain属性使cookie仅对设置它的域有效。对于
Path=/
, cookie对任何具有/
前缀的路径都有效。 -
仅为
//example.com/company1/
设置cookie:Set-Cookie: name=value; Path=/company1/
与上面的例子解释相同。唯一的限制是您需要使用
/company1/
而不是/company1
,因为Path=/company1
将等同于Path=/
,因此将使cookie对/company2
和/company3
也有效。
并且为了避免cookie可以通过JavaScript读取(减少使用XSS访问的资产),设置HttpOnly属性。
Open Web应用程序安全项目发布了许多关于安全Web应用程序开发的有价值的信息。
Cookie有一个作用域和路径属性,你通常不希望为"/"或通配符主机发出Cookie *. host.com都是不明智的。
这并不是一个简单的决定,在设计中考虑安全性是好的,但安全性是一个过程,在开发的每个阶段。
相关文章:
- 这是什么 ==- javascript 运算符
- 在 301 重定向期间,Google Analytics cookie _ga会发生什么情况
- 大规模保存cookie的最佳方式是什么
- 这个cookie是什么(_op_aixPageId)我在很多网站上都看到它
- 什么是 Cookie 和会话,以及它们如何相互关联
- 发送到服务器的 Cookie 的(数量)取决于什么
- 我在另一个网站上的javascript,它检查cookie的域是什么
- html cookie中的键和值之间的区别是什么
- 访问cookie最可靠的JavaScript函数是什么?
- JavaScript跨域PHP调用中的Cookie域是什么
- 什么在吃我的饼干?!Cookie不会在asmx调用中被转移
- asp javascript检查是否请求.Cookie什么也没找到
- 当您在客户端过期cookie并转到服务器端时会发生什么?
- 我们应该使用什么技术来防止通过粘贴cookie来自动登录?
- 我可以在高度安全的网站上使用什么类型的标签来跟踪数据(cookie)
- document.cookie的排序顺序是什么
- 是否可以判断GWT中是否启用了cookie?如果不是什么原生javascript可以做到这一点
- 是追踪cookie还是别的什么
- 在JavaScript中按名称读取cookie的最短函数是什么?
- 关于cookie,我应该知道些什么?