我将构建我的第一个移动网络应用程序,我发现 Android 2.3 的浏览器没有实现 httponly。
有哪些技术可以缓解这个问题?这是一个失败的原因吗?
HttpOnly 标志的目的是通过禁止 JavaScript 访问会话 cookie 来限制 Web 应用程序中的跨站点脚本 (XSS) 漏洞造成的损害。如果您的 Web 应用程序一开始就编写得当,也就是说,如果它不易受到 XSS 攻击,那么您并不严格需要 HttpOnly 标志来防止(基于 XSS 的)会话劫持。HttpOnly 只是第二道防线。
如此有效,如果由于客户端限制而无法使用 HttpOnly 标志,则应确保在将所有动态数据包含在 HTML、JS、CSS、JSON 或您生成的任何格式中时,使用适当的转义规则正确转义根据上下文,防止 XSS。或者使用为您执行此操作的框架。