本文概述
- Apache中的实现过程
- 验证
你是否知道可以将HttpOnly和Secure标志与cookie一起使用来缓解最常见的XSS攻击?
XSS很危险。通过每天查看数量越来越多的XSS攻击, 你必须考虑保护Web应用程序的安全。
在HTTP响应标头中没有HttpOnly和Secure标志的情况下, 可以窃取或操纵Web应用程序会话和cookie。
最好在应用程序代码中进行管理。但是, 由于开发人员的不了解, 它涉及到Web服务器管理员。
我不会谈论如何在代码级别设置它们。你可以在这里参考。
Apache中的实现过程
- 确保在Apache HTTP服务器中启用了mod_headers.so
- 在httpd.conf中添加以下条目
Header edit Set-Cookie ^(.*)$ $1;
HttpOnly;
Secure
- 重新启动Apache HTTP服务器进行测试
你可以使用以下命令将HttpOnly和Secure标志设置为低于2.2.4版本。感谢Ytse共享此信息。
Header set Set-Cookie HttpOnly;
Secure
验证你可以利用浏览器的内置开发人员工具检查响应标题, 也可以使用在线工具。
有帮助吗?
这是在Apache中要做的许多强化工作之一。
推荐阅读
- 如何在Nginx中实现HTTPOnly和安全Cookie()
- JDK和Applets
- 使用Apache poi和android的HSSFCellStyle错误
- 在Android中使用Apache POI时的兼容性问题
- 使用地理编码器和Android Google Maps API v2获取经度和纬度
- 在Android中,我应该使用什么来在图像上创建可移动对象()
- 使用Paperclip保存照片时,Rails app“无法分配内存”
- 如何通过ADB向Android设备发送语音命令
- Android Studio(按特定编号删除发送和接收的短信)