轉自:利用HTTP-only Cookie緩解XSS之痛
在Web安全領域,跨站腳本***時最爲常見的一種***形式,也是長久以來的一個老大難問題,而本文將向讀者介紹的是一種用以緩解這種壓力的技術,即HTTP-only cookie。
一、XSS與HTTP-only Cookie簡介
跨站點腳本***是困擾Web服務器安全的常見問題之一。跨站點腳本***是一種服務器端的安全漏洞,常見於當把用戶的輸入作爲HTML提交時,服務器端沒有進行適當的過濾所致。跨站點腳本***可能引起泄漏Web 站點用戶的敏感信息。爲了降低跨站點腳本***的風險,微軟公司的Internet Explorer 6 SP1引入了一項新的特性。
這個特性是爲Cookie提供了一個新屬性,用以阻止客戶端腳本訪問Cookie。
像這樣具有該屬性的cookie被稱爲HTTP-only cookie。包含在HTTP-only cookie中的任何信息暴露給***或者惡意網站的機率將會大大降低。下面是設置HTTP-only cookie的一個報頭的示例:
Html代碼 
Set-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly
上面我們介紹了HTTP-only Cookie;下面我們開始向讀者介紹跨站點腳本***、允許通過腳本訪問的cookie所帶來的潛在危險以及如何通過HTTP-only來降低跨站點腳本***的風險。
跨站點腳本***是一種服務器端常見的安全漏洞,它使得***可以欺騙用戶從而導致用戶在某個Web 站點上的敏感信息的泄漏。下面通過一個簡單的示例來解釋一個跨站點腳本***的相關步驟。
二、跨站點腳本***示例
爲了解釋跨站點腳本***是如何被***利用的,我們假想了下面的一個例子:
A證券公司運行了一個Web 站點,該站點允許您跟蹤某股票的最新價格。爲了提高用戶體驗,登錄A證券公司的Web 站點之後,你將被重定向到www.azhengquan.com/default.asp?name = < script > evilScript()< / script >張三,並且有一個服務器端腳本生成一個歡迎頁面,內容爲“歡迎您回來,張三!”。
你的股票數據被存放在一個數據庫中,並且Web 站點會在你的計算機上放置一個cookie,其中包含了對這個數據庫非常重要的數據。每當你訪問A證券公司站點時,瀏覽器都會自動發送該cookie。
一個***發現A證券公司公司的Web 站點存在一個跨站點腳本***缺陷,所以他決定要利用這點來收集你所持股票的名稱等敏感信息。***會您你發送一封電子郵件,聲稱您中獎了,並且需要點擊某個鏈接如“點擊這裏”來領取獎品。注意,該鏈接將超鏈接到www.azhengquan.com/default.asp?name=< script >evilScript()< / script > 當您點擊這個鏈接,映入眼簾您的將是“歡迎您回來!”—— 等等,您的姓名哪裏去了?事實上,單擊電子郵件內的鏈接之後,你實際上就是在通知A證券公司公司的Web 站點,你的姓名是< script > evilScript()< /script >。Web服務器把用這個“名字”生成的HTML返回給你,但是你的瀏覽器會把這個“名字”作爲腳本代碼解釋,腳本執行後便出現了我們前面看到的一幕。一般情況下,支持客戶端腳本是瀏覽器的典型功能之一。如果這個腳本命令瀏覽器向***的計算機發回一個cookie,即使這個cookie包含有您的股票的有關信息,您的瀏覽器也會老老實實地執行。最後,那些來自A證券公司的Web 站點的指令獲取了那個包含敏感信息的cookie。
下面是跨站腳本***的示意圖,它詳細的展示了***的五個步驟。首先,用戶點擊了***發來的電子郵件中的一個嵌入的鏈接(第1步)。由於跨站點腳本***缺陷的原因,這樣會導致用戶的瀏覽器向Web 站點發送一個請求(第2步);服務器端根據該請求會生成一個包含惡意腳本的響應,並將其發回給用戶的瀏覽器(第3步)。當用戶的機器執行返回的惡意代碼時(第4步),就會將用戶的敏感數據發送給***的計算機(第5步)。 
我們可以看到,這個過程只需要用戶單擊了一個鏈接,然後就會有指令發送給Web服務器,然後Web服務器生成一個嵌入惡意腳本的網頁;瀏覽器運行這個來自受信任的源的腳本,卻致使信息泄漏給***的計算機。跨站點腳本***有許多不同的形式,這裏只是其中的一種。
三、用HTTP-only Cookie保護數據
爲了緩解跨站點腳本***帶來的信息泄露風險,Internet Explorer 6 SP1爲Cookie引入了一個新屬性。這個屬性規定,不許通過腳本訪問cookie。使用HTTP-only Cookie後,Web 站點就能排除cookie中的敏感信息被髮送給***的計算機或者使用腳本的Web站點的可能性。
Cookie通常是作爲HTTP 應答頭髮送給客戶端的,下面的例子展示了相應的語法(注意,HttpOnly屬性對大小寫不敏感):
Html代碼
Set-Cookie: =[; =]
[; expires=][; domain=]
[; path=][; secure][; HttpOnly]
即使應答頭中含有HttpOnly屬性,當用戶瀏覽有效域中的站點時,這個cookie仍會被自動發送。但是,卻不能夠在Internet Explorer 6 SP1中使用腳本來訪問該cookie,即使起初建立該cookie的那個Web 站點也不例外。這意味着,即使存在跨站點腳本***缺陷,並且用戶被騙點擊了利用該漏洞的鏈接,Internet Explorer也不會將該cookie發送給任何第三方。這樣的話,就保證了信息的安全。
注意,爲了降低跨站點腳本***帶來的損害,通常需要將HTTP-only Cookie和其他技術組合使用。如果單獨使用的話,它無法全面抵禦跨站點腳本***。