cookie安全机制

一、关于cookie

服务器响应头可以通过Set-Cookie字段添加、修改、删除cookie;一般情况下,使用javascript也可以添加、删除、修改cookie。

二、cookie格式

[name] [value] [domain] [path] [expires] [httponly] [secure]

含义依次是:名称、值、所属域名、所属相对路径、过期时间、是否有HttpOnly标志,是否有secure标志。

三、一些cookie机制

1、子域cookie机制

(1)设置cookie时,如果不指定domain值,默认为本域。

(2)可以指定domain值为父域;但不可以为下级子域。

(3)好处:不同子域可以共享cookie;隐患:攻击者控制的其他子域也可以读到这个cookie。

(4)格式

document.cookie = "name = test; domain = xxx.com

2、路径机制

(1)设置cookie时,如果不指定path值,默认为目标页面的路径。

如xxx.com/admin/index.php页面通过javascript来设置cookie,不指定path值时,默认为/admin/

(2)javascript有权限设置cookie到任意路径,但只有目标路径下的javascript可以读取。

(3)通过iframe进行DOM操作,可以跨路径读取cookie。所以,通过设置cookie并不能保证cookie被盗取。


你可能感兴趣的:(web前端)