我将构建我的第一个移动网络应用,我发现Android 2.3的浏览器并没有实现httponly。
有哪些技巧可以缓解这个问题?这是一个失败的原因吗?
答案 0 :(得分:1)
HttpOnly标志的目的是通过禁止JavaScript访问会话cookie来限制Web应用程序中跨站点脚本(XSS)漏洞的损坏。如果您的Web应用程序首先正确编写,也就是说,如果它不受XSS攻击,那么您不必严格要求HttpOnly标志(基于XSS)会话劫持是安全的。 HttpOnly只是第二道防线。
如此有效,如果由于客户端限制而无法使用HttpOnly标志,则应确保在将所有动态数据包含在HTML,JS,CSS,JSON或您生成的任何格式时正确转义所有动态数据,根据上下文适当的转义规则,以防止XSS。或者使用一个为您完成此任务的框架。