1.什么是HttpOnly? 如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,具体一点的介绍请google进行搜索.   C#  HttpCookie myCookie = new HttpCookie("myCookie");   myCookie.HttpOnly = true;   Response.AppendCookie(myCookie); javaee response.setHeader(&qu…
10 年前的博客似乎有点老了,但是XSS 攻击的威胁依然还在,我们不得不防. 窃取Cookie是非常简单的,因此不要轻易相信客户端所声明的身份.即便这个Cookie是在数秒之前验证过,那也未必是真的,尤其当你仅使用Cookie验证客户端的时候. 2006 年 1 月,LiveJournal遭到了XSS攻击,这个事件足以警示我们.还有,2006 年 10 月,MySapce也遭到了XSS攻击,这告诉我们必须非常谨慎地过滤用户发布的文本,因为黑客可以在文本中掺杂一些 JavaScript 代码,以此…
互联网早期浏览器是没有状态维护,这个就导致一个问题就是服务器不知道浏览器的状态,无法判断是否是同一个浏览器.这样用户登录.购物车功能都无法实现,Lou Montulli在1994年引入到web中最终纳入W3C规范 RFC6265中. 区别 cookie在浏览器请求中每次都会附加请求头中发送给服务器.大小不能超过4k localStorage保存数据会一直保存没有过期时间,不会随浏览器发送给服务器.大小5M或更大 sessionStorage仅当前页面有效一旦关闭就会被释放.也不会随浏览器发送给服…
1.简介 如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的 原因.但这种方式能防住攻击者吗?HttpOnly标志可以防止cookie被“读取”,那么能不能防止被“写”呢?答案是否定的,那么这里面就有文章可 做了,因为已证明有些浏览器的HttpOnly标记可以被JavaScript写入覆盖,而这种覆盖可能被攻击者利用发动session fixation攻击.本文主题就是讨论这种技术. 2.用JavaScript覆…
一.设置cookie function setCookie(name, value){ Days = 1; var exp = new Date(); exp.setTime(exp.getTime() + Days*24*60*60*1000); var domain = window.location.host; var domains = domain.split('.'); if (domains.length === 3){ domains = domains.slice(1,3);…
读取Cookie及Cookie所有属性操作方法 2013-08-04 22:21:43|  分类: 技术 |  标签:cookie  |举报|字号 订阅   要把Cookie发送到客户端,Servlet先要调用new Cookie(name,value)用合适的名字和值创建一个或多个Cookie,通过cookie.setXXX设置各种属性,通过response.addCookie(cookie)把cookie加入应答头. 要从客户端读入Cookie,Servlet应该调用request.getC…
服务器端创建Cookie: Win7默认Cookie位置 C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies CookieTest1.java //CookieTest1 package com.tsinghua; import javax.servlet.http.*; import java.io.*; public class CookieTest1 extends HttpServlet{ public voi…
不关乎技术,关乎一个小Tips: 默认情况下,IE和Chrome内核的浏览器会认为http://localhost为无效的域名,所以不会保存它的cookie,使用http://127.0.0.1访问程序就可以解决. 就这,坑的我明明在Chrome下F12调试,眼睁睁看到有Cookie,可就是跟不存在一样Java读不到! 所以在调试写入和读取Cookie时,不要使用 http://localhost/yourpro 访问,使用 http://127.0.0.1/yourpro 去访问. 结果就这么…
1.概述 IE缓存虽然能提高已储存网站的访问速度,但是过度的IE缓存会影响浏览器的响应速度.同时还可能为网站的运行带来一些不必要的麻烦.例如:可能会因为浏览器缓存的应用,而导致Web服务器不能准确的计算一个页面或广告已被阅览的次数:在论坛或者网上商城系统中由于浏览器缓存的使用,导致更新的图片信息不能得到及时的显示:还有由于浏览器缓存的使用,而使网页设计者不能立即查看到网页更新后的效果. 所以在开发网站的过程中,最好是在程序中禁止浏览器缓存页面,从而避免上述问题的出现,也省去了手动清空浏览器缓存的…
一.前言 本平台是个人轻量级XSS测试平台,仅作为练习参考. 二.实验环境 服务器操作系统:Centos 7 Web容器:Apache 三.平台搭建过程 安装Apache 安装PHP 安装Git工具 从GitHub克隆XSS平台源码 # 删除默认网站内容 rm  -rf  /var/www/* # 创建新的网站目录 mkdir  /var/www/xss 从GitHub克隆xss测试源码(https://github.com/firesunCN/BlueLotus_XSSReceiver.git…