httpOnly对于抵御Session劫持的个人小结

Ⅰ 什么是http only?起到什么防护作用？

1. cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，
2. 主要防护的攻击手段：XSS不能通过document对象直接获取cookie

Ⅱ 怎么绕过http only的防护（三种）

1. 前端信息泄露：开发者将设置过的httponly的cookie放在页面上，攻击者可以用crossdoamin.xml漏洞，进行跨域访问cookie
2. 情况较少：配置出错;将httponly配置给不重要的cookie
3. 长度溢出：低版本apache存在一个CVE漏洞，攻击者可以通过发送一个超长伪造cookie，获取httponly的cookie

Ⅲ cookie是一个很重要的东西，直接在服务器上操作，便可以保证一定的安全性，为什么还要加httponly？

• 方便与安全，我们总得去向其中一个低头，对于有些网站登录有一些一周内免登录，这种就需要一个长时间存放在本地的身份cookie，一个赤裸裸的cookie是不能直接放，这时候，就要加点httponly，防止xss利用js脚本获取

Ⅳ 小结

• 讲到这里，加上httponly也不一定安全，像apache的CVE漏洞那样发送超长cookie就可以获取cookie
• 对于cookie安全，我们不能只是寄托于httponly，一个浏览器机制来保护我们的cookie，我们应该尽量不把数据信息放在cookie上，利用其他手段去降低不安全性
• 其他用户验证方法、异地用户登录验证等方法去保证cookie的安全性
• 正如我在stack Overflow上搜到一些答案：