All posts tagged 'cookie' | The Will Will Web

The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

設定 Cookie 時可善用 HttpOnly 特性減低網站安全風險(XSS)

Cookie hijacking 是個很常見的 XSS 攻擊手法,大多是利用網站既有的 XSS 漏洞並透過 JavaScript 取得 documnet.cookie 資料,而 documnet.cookie 就包含所有你在該網頁所有可用的 Cookie 資料,但若你的網站程式在設定 Cookie 的時候有特別加上 HttpOnly 屬性,就可以進一步避免該頁的 Cookie 被 JavaScript 存取,也可保護使用者的 Cookie 不會偷走。

... 繼續閱讀 ...

解釋 Cookie 的特性

身為 Web 開發人員一定要瞭解 HTTP 本身 無狀態 (Stateless) 的特性,要在網路上識別瀏覽者的身份,必須透過一些機制來保存狀態,而 Cookie 就是其中一種保存狀態的機制,也是我們開發 Web 應用程式經常要面對的事,但又有多少人瞭解 Cookie 的細部特性呢!今天來談談 Cookie 的細部特性吧。

... 繼續閱讀 ...