ホームページ >バックエンド開発 >PHPチュートリアル >HttpOnly は XSS が Cookie を盗むのを防ぐことができるのに、なぜ広く使用されないのでしょうか?

HttpOnly は XSS が Cookie を盗むのを防ぐことができるのに、なぜ広く使用されないのでしょうか?

WBOY
WBOYオリジナル
2016-08-10 08:50:401609ブラウズ

返信内容:

http のみを使用すると Cookie の盗難を防ぐことができますが、利便性とセキュリティは常に相反するものではありません。開発に関しては、最初に httponly でアーキテクチャ全体を展開しない限り、後のメンテナンスコストは比較的低くなります。そうしないと、後の段階で httponly を展開するのが比較的困難になることが一般的です。主に次のような点が反映されています。事業ラインが非常に長い場合、httponly を展開することは、全身に影響を与えることと同じです。
Tencent を例に挙げます。その中に次のコードが見つかります:
document.domain="qq.com";
つまり、異なる第 2 レベルのドメイン名です。 *.qq.com、さらに上位レベルのドメイン名でも、Cookie などのユーザー情報を同期できます。
これによりユーザー エクスペリエンスが向上しますが、セキュリティ上の問題も発生します。
Tencent のセカンドレベル ドメイン名 xss は何ができるのですか?このビデオは pkav から見ることができます:
HttpOnly は XSS が Cookie を盗むのを防ぐことができるのに、なぜ広く使用されないのでしょうか? インターネットは本当に安全ですか? http://v.qq.com/boke/play/t/v/m/t1063qxrovm.html?_out=102 さて、上でたくさん述べてきましたが、要約しましょう:
1 、httponly が普及するかどうかはシナリオ次第です。シナリオなしで httponly について話すのはフーリガンです。
2. httponly は万能薬ではありません。 Apache の cve-2012-0053 は httponly を突破できます。
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。