假设您的网站遭受XSS攻击。 黑客可以使用cookie发出任何请求。 那么,有什么意义从客户端隐藏这个价值呢?
答案 0 :(得分:1)
在XSS攻击中,“黑客可以使用Cookie发出任何请求”,但并非所有Cookie 。如果一个cookie是HttpOnly,则客户端JavaScript无法访问它,这意味着黑客无法读取cookie值并将其发送到自己的服务器,甚至不知道该cookie是否存在。
通常,当HttpOnly用于保护Cookie时,Cookie的Domain也会设置(如果HTTP响应的Domain标头中缺少Set-Cookie,则浏览器会设置cookie的域名作为HTTP连接的主机名)。黑客可以触发HTTP请求并使浏览器在请求中放置HttpOnly cookie,但它会受到cookie Domain的限制 - 只有当Domain与HTTP请求匹配时才会发送cookie。因此,HttpOnly Cookie与网站Domain是安全的,它不会泄露给XSS攻击者。
答案 1 :(得分:0)
Well Http只有cookie才能被服务器访问。无法从JavaScript访问它们。这意味着黑客更难以将这些cookie用于自己的使用。
Http只有cookie可以降低网站上跨站点脚本攻击的可能性。
有关详细信息,请参阅此链接:https://www.owasp.org/index.php/HttpOnly