웹페이지에 크로스 사이트 스크립트(XSS) 공격이 가능하다면 쿠키값을 가져올 수 있다. 즉 공격자가 쿠키에 접근이 가능해 진다.
이를 막기위해 HttpOnly라는 속성이 등장했다.
서버에 SetCookie 헤더를 보낼때 HttpOnly 옵션을 주어 쿠키 접근을 방지할 수 있다.
다음은 php를 통한 HttpOnly 속성의 예시이다.
* httpOnly 설정 방법
- PHP
5.2 이상버전
setcookie("name","value",0,"/","domain_name",false,true);
5.2 이하버전
header( "Set-Cookie: name=value; httpOnly" );
- JSP
java에서 설정
String sessionid=request.getsession().getId();
response.setHeader("SET-COOKIE","JSESSIONID",+sessionid+";HttpOnly");
web.xml에서 설정
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
- ASP
HttpCookie cookie = new HttpCookie("cookie", DateTime.Now.ToString());
cookie.Name = "cookie";
cookie.HttpOnly = true;
'웹' 카테고리의 다른 글
| LetsEncrypt Certificate Auto Renewal (0) | 2021.01.19 |
|---|---|
| bypass file upload restrictions (filename extension) (0) | 2016.10.17 |
| How To use IIS(Internet Information Services) - ASP (0) | 2016.09.19 |
| strcmp vulnerability on php (0) | 2016.09.19 |
| Directory Listing denied on Apache (0) | 2016.09.19 |