我将构建我的第一个移动网络应用程序,我发现 Android 2.3 的浏览器没有实现 httponly。
有哪些技术可以缓解这个问题?这是一个失败的原因吗?
问问题
814 次
1 回答
1
HttpOnly 标志的目的是通过禁止 JavaScript 访问会话 cookie 来限制 Web 应用程序中的跨站点脚本 (XSS) 漏洞造成的损害。如果您的 Web 应用程序一开始就编写得当,也就是说,如果它不易受到 XSS 攻击,那么您并不严格需要 HttpOnly 标志来防止(基于 XSS 的)会话劫持。HttpOnly 只是第二道防线。
如此有效,如果由于客户端限制而无法使用 HttpOnly 标志,则应确保在将所有动态数据包含在 HTML、JS、CSS、JSON 或您生成的任何格式中时,使用适当的转义规则正确转义根据上下文,防止 XSS。或者使用为您执行此操作的框架。
于 2012-03-07T12:54:10.277 回答