1.将cookie的httponly属性设置为true。
一般来说,跨站脚本攻击(xss)最常见的是在交互式网站(如论坛、微博等)中嵌入javascript脚本。).当其他用户访问嵌入脚本的网页时,攻击者可以用户的cookie信息。如果网站开发者将cookie的httponly属性设置为true,那么浏览器客户端将不允许网页中嵌入的javascript脚本读取用户的cookie信息。
2.将cookie的安全属性设置为true。
虽然模式1可以防止攻击者通过javascript脚本cookie,但是没有办法防止攻击者通过fiddler等抓包工具直接拦截请求包获取cookie信息。这时候设置安全属性就很重要了。当设置了securetrue时,那么cookies只能加载到https协议下的请求包中,而不会发送到http协议下的服务器。https比http更安全,因此可以防止cookies被添加到http协议请求数据包中,并暴露给数据包抓取工具。
3.将cookie的samesite属性设置为strict或lax。
如上所述,攻击者获得cookie后,还会发起跨站请求伪造(csrf)攻击。这种攻击通常在第三方网站发起的请求中携带受害者cookie信息,将samesite设置为严格或宽松后,可以限制第三方cookie,从而防止csrf攻击。当然,也有一种常见的方法来检查令牌和referer请求头,以防止csrf攻击,感兴趣的读者也可以自己阅读材料来了解一下。
4.设置cookie的过期属性值。
通常情况下,cookies的有效期会被设置为永久有效或长期为正值。这样的cookie会被存储在本地,攻击者在获取cookie信息后可以长时间控制用户账号。如果过期值设置为-1,cookie将只存储在客户端内存中,当浏览器客户端关闭时,cooki
选择互联网选项-高级-"禁用脚本调试和"显示每个脚本错误的通知,第一个勾选,最后一个不勾选。
.jpg)
