晚上看最新的 Fx trunk build 的 changelog。看到这么一条 MSIE-extension: HttpOnly cookie attribute for cross-site scripting vulnerability prevention..
追到 bugzilla 的描述里面一看,原来是这样:
浏览器访问一个页面时传送的 cookie 是 script 可读的(比如 javascript 就可以用 document.cookie 访问)。MSIE 定义的这个协议扩展就是设置脚本对该文档页面的 cookie 的访问权限,可以说是相当的有用。
大概两三个月前就听搜狐社区的同事介绍经验,说曾有人在论坛里面贴了一个 flash,用它来盗取用户的 cookie,后来他们只好把 cookie 设置的和客户端 IP 相关,做 cookie 校验的时候还看看 IP 是否一致。HttpOnly cookie 就是针对这种漏洞而出的方案,未来 firefox 3 也将支持这个功能,什么时候写入 RFC 成为标准的一部分就好了。
现在 sohu 通行证已经在 https 连接上使用了 secure 这个选项,下一版本的通行证技术方案将增加 HttpOnly 这个技术。
Topic:
技术
最新评论