最初のモバイルWebアプリを作成する予定ですが、Android2.3のブラウザーはhttponlyを実装していないことがわかりました。
この問題を軽減するためのいくつかのテクニックは何ですか?これは失われた原因ですか?
1 に答える
1
HttpOnlyフラグの目的は、JavaScriptがセッションCookieにアクセスすることを禁止することにより、Webアプリケーションのクロスサイトスクリプティング(XSS)の脆弱性の場合の損害を制限することです。Webアプリケーションがそもそも適切に記述されている場合、つまりXSSに対して脆弱でない場合は、(XSSベースの)セッションハイジャックから保護するためにHttpOnlyフラグを厳密に必要としません。HttpOnlyは、防御の2番目のラインにすぎません。
したがって、クライアントの制限のためにHttpOnlyフラグを使用できない場合は、適切なエスケープルールを使用して、HTML、JS、CSS、JSON、または生成する形式に含めるときに、すべての動的データを適切にエスケープする必要があります。コンテキストに応じて、XSSを防止します。または、これを行うフレームワークを使用してください。
于 2012-03-07T12:54:10.277 に答える