防止XSS攻击的方案

防止XSS攻击

Cookie 的HttpOnly属性

Cookie 的HttpOnly属性是Cookie的扩展功能,它使JavaScript脚本无法获得Cookie。其主要目的为防止跨站脚本攻击(Cross-site scripting, XSS)对Cookie的信息窃取。

发送指定HttpOnly属性的Cookie的方法如下所示:

Set-Cookie: name=value; HttpOnly

通过上述设置,通常从Web页面内还可以对Cookie进行读取操作。当使用JavaScript的document.cookie就无法读取附加HttpOnly属性后的Cookie的内容了。因此,也就无法在XSS中利用JavaScript劫持Cookie了。

如果本文对你有帮助,请大佬打赏。
防止XSS攻击的方案_第1张图片

你可能感兴趣的:(XSS,XSS攻击,攻击,HTTP)