Bug 曝光台 建议 testerhome 页面 Cookie 中的 userid 设置 httponly
问题:testerhome 网页可以通过 JS 获取 Cookie 信息:
document.cookie;
可以获取到 user_id 的信息:
这就造成了巨大的安全隐患,这是因为在 HTML 页面中引入第三方的 JavaScript 代码是允许的:
<html>
<head>
<script src="http://www.xxx.com/jquery.js"></script>
</head>
...
</html>
如果引入的第三方的 JavaScript 中存在恶意代码,则 www.xxx.com 网站将直接获取到目标网站的用户登录信息。
推荐解决:服务器在设置 Cookie 时可以使用 httponly
设定了 httponly 的 Cookiie 将不能被 JavaScript 读取,主流浏览器均支持 httponly 选项,
通过 Chrome 的开发者工具发现_homeland_session 和_remember_user_token 已设置了 httponly,建议把 user_id 也设置 httponnly。
「原创声明:保留所有权利,禁止转载」
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
这个问题提的好
什么场景会出现这种情况?
