Cookie 安全內(nèi)容檢查包括前面講的存儲(chǔ)內(nèi)容的檢查篮愉,還包括以下方面:
(1 )Cookie 過(guò)期日期設(shè)置的合理性:檢查是否把Cookie 的過(guò)期日期設(shè)置得過(guò)長(zhǎng)。
(2 )HttpOnly 屬性的設(shè)置:把 Cookie 的HttpOnly 屬性設(shè)置為T(mén)rue 有助于緩解跨站點(diǎn)
腳本威脅忧吟,防止Cookie 被竊取。
(3 )Secure 屬性的設(shè)置:把 Cookie 的Secure 屬性設(shè)置為 True 斩披,在傳輸 Cookie 時(shí)使用
SSL 連接溜族,能保護(hù)數(shù)據(jù)在傳輸過(guò)程中不被篡改。
對(duì)于這些設(shè)置垦沉,可以利用Cookie Editor 來(lái)查看是否正確地被設(shè)置煌抒,如圖 15.30 所示。
圖15.30 查看Cookie 的設(shè)置
說(shuō)明:可在“Expiration Date and Time”中查看 Cookie 的過(guò)期日期設(shè)置是否合理厕倍,查看
“HttpOnly ”和“Secure ”是否勾選上摧玫,勾選上表示設(shè)置為T(mén)rue 。在“Cookie Value ”中可
查看是否存在敏感信息绑青,數(shù)據(jù)是否經(jīng)過(guò)加密诬像。
[Reference]http://blog.csdn.net/fen0707/article/details/8530597
=============
- cookie編碼
- 假如是本地磁盤(pán)中的頁(yè)面,chrome的控制臺(tái)是無(wú)法用JavaScript讀寫(xiě)操作 cookie 的闸婴,解決辦法...換一個(gè)瀏覽器_坏挠。
- 把cookie設(shè)置為secure,只保證 cookie 與服務(wù)器之間的數(shù)據(jù)傳輸過(guò)程加密邪乍,而保存在本地的 cookie文件并不加密降狠。如果想讓本地cookie也加密,得自己加密數(shù)據(jù)庇楞。
- cookie的domain和path如何設(shè)置榜配?
========
