立即登录 马上注册
首页 开发帮助文档 开发技术 httponly对XSS***的作用

评论

收藏

[JavaScript] httponly对XSS***的作用

开发技术 开发技术 发布于:2021-06-23 22:25 | 阅读数:514 | 评论:0

  最近在用python的flask框架写东西,顺便把httponly的作用拿出来说下,主要是防止XSS漏洞***。以下hello.py都是用flask写的 DSC0000.jpg 代码里加入两个cookie值,其中一个带有httponly标签,另一个不带httponly标签。index.html里就是一句简单的XSS测试js代码
<html>
<h1>This page contains a cookie!</h1>
<script type="text/javascript">alert(document.cookie)</script>
</html>
启动flask的web serverpython hello.py访问http://192.168.118.142:5000/login   DSC0001.jpg
alert弹框只获取到了第一个cookie里的session id和值。可以用chrome插件看看http response header DSC0002.jpg 第二条cookie因为有了httponly的标签,所以没有被获取到。由此我们可以看到httponly对XSS***的作用,但是凡事不是绝对的,有些特定情况还是可以绕过,以后再分析一下。good luck!
关注下面的标签,发现更多相似文章
免责声明:

1. 本站所有资源来自网络搜集或用户上传,仅作为参考不担保其准确性!

2. 本站内容仅供学习和交流使用,版权归原作者所有!© 查看更多

3. 如有内容侵害到您,请联系我们尽快删除,邮箱:kf@codeae.com

分享到: QQ好友和群QQ好友和群 QQ空间QQ空间

举报

返回列表
相关帖子
avatar
1502 经验
1502 文档
OPNE在线字典
  • 手机版| 免责声明|
2021-2025  版权所有:CodeAE代码之家   
粤ICP备2023096576号-2