Bug 曝光台 建议 testerhome 页面 Cookie 中的 userid 设置 httponly

zailushang · June 23, 2020 · Last by zailushang replied at June 24, 2020 · 4231 hits

问题:testerhome网页可以通过JS获取Cookie信息:

document.cookie; 

可以获取到user_id的信息:

这就造成了巨大的安全隐患,这是因为在HTML页面中引入第三方的JavaScript代码是允许的:

<html>
<head>
<script src="http://www.xxx.com/jquery.js"></script>
</head>
...
</html>

如果引入的第三方的JavaScript中存在恶意代码,则www.xxx.com网站将直接获取到目标网站的用户登录信息。

推荐解决:服务器在设置Cookie时可以使用httponly

设定了httponly的Cookiie将不能被JavaScript读取,主流浏览器均支持httponly选项,
通过Chrome的开发者工具发现_homeland_session和_remember_user_token已设置了httponly,建议把user_id也设置httponnly。

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
共收到 7 条回复 时间 点赞

这个问题提的好

什么场景会出现这种情况?

恒温 回复

都会出现[捂脸]

恒温 回复

登录后就有

zailushang 回复

不是,我的意思是别人怎么才能拿到你的id。因为现在内部实现,的确需要js使用userid。

恒温 回复

https能防住中间人劫持,那应该就没啥问题了

需要 Sign In 后方可回复, 如果你还没有账号请点击这里 Sign Up