攻击的目的是获取在线敏感数据和敏感操作。使用客户端浏览器执行js提交或获取cookie认证。认证本质:Cookie影响cookie认证信息的几个重要属性。DomainsendthiscookiePath:发送这个cookie的路径Secure:发送这个cookie到非ssl服务Httponly:使用javascript获取这个cookieP3p:当页面被嵌入为html标签比如iframe时,IE是否接受并发送这个cookie到影响客户端发送或获取数据的域同源策略客户端脚本的安全标准与协议相同,域名相同,端口相同。获取操作数据的权限:ajax/csrfP3p解决方案从架构上解决问题我们在设计的时候需要考虑到我们的cookie认证信息。真的需要设置不同安全级别的服务可以放在同一个域下吗?前台和后台在安全级别上是分开的吗?他们真的分开了吗?我们的重要业务真的是独立的吗?身份验证cookie和应用程序是否已解决?独立启用Cookie(保护认证)Httponly(放置哪个域名)应用程序后台敏感操作和前台操作域名无关(同源策略)谨慎使用p3pXSS防御方案,过滤输入中的特殊符号,区分富文本和non-richtext,encodenon-richtextRichtext开始对富文本做语法树分析,加强形式校验……从设计的角度解决问题。信任域的划分是安全设计的基础。门禁系统是安防设计的核心。可预见性是安全设计的保证炸鸡辣子鸡原创文章,转载请注明出处
