HttpOnly和HostOnly 解决xss
作者:互联网
HttpOnly和HostOnly
HttpOnly
和HostOnly
都是xss
攻击的解决方式,不同之处在于标注了HttpOnly
的数据不能使用JavaScript
读取,标注了HostOnly
的数据只有在指定网站内发送请求才会返回。
例如:
1、Cookie
标注了HttpOnly
的数据,使用document.cookie
就无法读取。
2、Cookie
标注了HostOnly
的数据中Domain字段的值为www.test1.com
,下次请求时请求头中的Origin
字段就必须得是www.test1.com
,响应才会返回由HostOnly
标注的数据。
标签:test1,xss,www,HostOnly,Cookie,HttpOnly,标注 来源: https://blog.csdn.net/sd517125/article/details/117952115