사용자가 의견을 게시 할 수있는 웹 사이트가 있습니다. xss 구멍이 있으면 xHttprequest, Ajax 호출 등으로 httpOnly 일지라도 여전히 쿠키 데이터를 얻을 수 있는지 알고 싶습니다. 가능합니까?JS | Xss 방어 질문
답변
JavaScript로 HTTP 전용 쿠키를 검색 할 수 없습니다. 따라서 "HTTP-only".
이론 상으로는 그렇습니다.하지만 공격이있었습니다. 예를 들어 http://www.karakas-online.de/forum/viewtopic.php?t=341 또는 https://www.owasp.org/index.php/Cross_Site_Tracing –
출처 날짜 : 2003 년 및 2009 년을 참조하십시오. 현재 거의 모든 현대의 브라우저는'httpOnly' 쿠키를 올바르게 구현하고 있습니다. –
하지만 Ajx 요청을 사용하여 쿠키 값을 포함하는 헤더를 가져올 수 있습니까? – funerr
- 1. IE8 XSS 필터 질문
- 2. Struts 2 - XSS 관련 질문
- 3. 방어 사본
- 4. Ext JS -DOM 질문 질문
- 5. 밀교 JS 질문
- 6. IOrderedEnumerable 및 방어 프로그래밍
- 7. 방어 적이기는 혼란
- 8. 서비스 제어를위한 방어 코드
- 9. 또 다른 JS 초보자 질문
- 10. 바이러스 백신처럼 프로세스 자체 방어
- 11. 게임 내 방어 구조 배치
- 12. 사용 방법 방어 적이기() 함수
- 13. DataBinder.Eval의 XSS
- 14. jsbin.com의 XSS
- 15. XSS 정규식
- 16. XSS 공격의 손상된 이미지
- 17. XSS (Cross Site Scripting)에 대한 또 다른 질문
- 18. XSS 공격과 스타일이 같은
- 19. Ruby에서 방어 프로그램을 어떻게 만들 수 있습니까?
- 20. Ext JS xtemplate 질문 - 필드가 있는지 확인하십시오.
- 21. Ext-JS Quicktip 아이콘 CSS 질문
- 22. 은 PHP의 htmlspecialchars() 또는 XSS (교차 사이트 스크립팅) 공격의 모든 사례를 방어 할 수있는 Ruby on Rails의 h()입니까?
- 23. XSS (Cross Site Scripting)
- 24. XSS 고문 테스트 - 존재합니까?
- 25. 결제 게이트웨이 및 XSS
- 26. XSS PHP 로그 필터?
- 27. PHP로 XSS 예방하기
- 28. DOM XSS 공격 탐지
- 29. setAttribute() 및 XSS
- 30. jQuery XSS 문제
쿠키를 일반 텍스트로 작성할 수는 없으므로 정보가 공격자에게 유용하지 않습니다 – Einacio