1.设置cookie的httponly属性为true。
一般来说,跨站脚本攻击(xss)最常见的攻击那就是是从在多屏幕网站(或者论坛、微博等)中附着javascript脚本,当其他用户访问网络嵌有脚本的网页时,攻击者就能按照到用户cookie信息。如果网站开发者将cookie的httponly属性设置为true,这样的话浏览器客户端就不不允许嵌在网页中的javascript脚本去加载用户的cookie信息。
2.设置中cookie的secure属性为true。
虽说能避兔攻击者是从javascript脚本的偷盗cookie,不过没法防止攻击者是从fiddler等抓包工具真接截取视频各位数据包的某些cookie信息,这时候可以设置secure属性就稍显很最重要,当设置中了securetrue时,这样的话cookie就没法在https协议下装载到只是请求数据包中,在http协议下就绝对不会发送中给服务器端,https比http更为安全,这样的话就可以避兔cookie被加入到http协议帮忙包不暴露给抓包工具啦。
3.设置中cookie的samesite属性为strict或lax。
前文提及攻击者某些到cookie后,还会发动攻击跨站只是请求伪造证明(csrf)攻击,这种攻击大多数是在第三方网站发起的请求中随身武器受害者cookie信息,而设置里了samesite为strict或lax后就能取消第三方cookie,从而可以不防御攻击csrf攻击。其实,当前具体用法的也有校验token和referer各位头的来以免csrf攻击,很有兴趣读者也这个可以自己研读材料所了解下。
4.设置中cookie的expires属性值。
常见,cookie的有效期会被系统设置为永久比较有效或一个较长时间的正数值,这样的cookie会被保存在本地,攻击者资源cookie信息后也可以在非常长的一段时间里控制用户账号,而要是给cookie可以设置expires值为-1,这样的话该cookie就仅保存在客户端内存中,当浏览器客户端被直接关闭时,cookie就会失效了。
iphone6plus里的阻止cookie的意思:
1、cookie不是你直接登陆网站时不自动保存的登陆后信息。
2、有cookie的话是可以再直接登陆,不需要恢复输入密码登录。
3、当然了cookie会有时间限制,会没过期。iphone6plus:1、iphone6plus是苹果公司(apple)在2014年9月再推出的一款手机。2、北京时间2014年9月10日凌晨1点,苹果公司在加州库比蒂诺德安萨学院的弗林特艺术中心举行庆典2014年秋季新品发布会,宣布先发布其最后一代产品iphone6plus。
