WEB开发网婵犵數濮烽弫鍛婃叏閻戣棄鏋侀柛娑橈攻閸欏繘鏌ｉ幋锝嗩棄闁哄绶氶弻娑樷槈濮楀牆濮涚紓浣哄█缁犳牠寮诲鍫闂佸憡鎸诲銊╁箲閵忕姭妲堟繛鍡樺姇椤庢捇姊洪崨濠傚鐎殿喖鐖奸獮鏍箛椤旂偓锛忛梺鍛婃寙閸曨偅鐣梻浣哥枃椤宕归崸妤€绠栭柍鍝勫暊閸嬫捇宕烽鐐愩垺銇勯妷锔剧疄婵﹤鎼晥闁搞儜鈧崑鎾澄旈崨顓狅紱闂佽宕橀褎顢婇梻浣告啞濞诧箓宕归幍顔句笉婵炴垯鍨洪悡鏇熴亜閹板墎绋荤紒鈧崘鈹夸簻閹艰揪绱曟晥濠殿喖锕ㄥ▍锝囧垝濞嗗繆鏋庨柟顖嗗啫顥愰梻鍌欑閹芥粍鎱ㄩ悽绋跨婵炲棙鍔掔换鍡涙煟閵忊懚鍦矆鐎ｎ偁浜滈柡宥冨姀婢规﹢鏌涢悙顏勫婵﹥妞藉Λ鍐归妶鍡欌姇闁瑰嘲鎳橀獮鎾诲箳瀹ュ拋妫滈梻鍌欑濠€閬嶅磿閵堝鈧啴宕卞☉妯煎幈闂佸湱鍎ら〃鍡涙偂閺囥垺鐓涢柛銉ｅ劚婵＄厧霉濠婂嫮鐭嬮柕鍥у缁犳盯鏁愰崨顓犵潉闂備礁鎼径鍥焵椤掆偓绾绢參寮抽崱娑欏€甸柨婵嗛婢т即鏌￠崱娆忊枅闁哄睙鍕嚤婵炲棙鍨甸崺宀勬⒑闂堟稒顥為悽顖涘浮閿濈偛鈹戠€ｎ偄浜楅柟鑹版彧缁插ジ鎮介懡銈囩＝濞达綀顕栧▓鏇㈡煕閵娿儳浠㈡い顐㈢箳缁辨帒螣鐠囧樊鈧挾绱撴担鍦槈妞ゆ垵鎳庨埢鎾活敇閻愨晜鏂€濡炪倖姊归弸濠氬礂椤掑倻纾奸柣妯挎珪瀹曞矂鏌曢崱鏇狀槮妞ゎ偅绻堥獮鍥ㄦ媴閸忓鐎告繝鐢靛Х閺佸憡鎱ㄩ銏犵；闁规崘绉ぐ鎺撴櫜闁搞儮鏂傞埀顒€锕弻锟犲焵椤掍胶顩烽悗锝庡亞閸樿棄鈹戦埥鍡楃仭妞ゆ垶鐟╁畷鐢碘偓锝庡厴閸嬫挾鎲撮崟顒€浠╅梺绋挎唉缁箖鎮橀崘顔解拺缂備焦鈼ら鍕靛殨闁割偅娲栭悿顕€鏌ｉ幇顔芥毄缁炬儳銈搁弻娑氫沪閻愵剛娈ら柡浣哥墦閹鎲撮崟顒傤槰缂備緡鍠栫换妯挎闁诲酣娼ч幗婊兾涢鐐寸厵妞ゆ牕妫旂粈浣圭椤曗偓閹鈻撻崹顔界亪闂佺粯鐗滈崢褔鎮鹃悜鑺ュ亗閹煎瓨蓱椤秴鈹戦埥鍡楃仧閻犫偓閿曞倹鍊电€规洖娲ㄧ壕浠嬫煕鐏炲墽鎳呴柛鏂跨У閵囧嫰濡搁妷锔绘闂佷紮绲剧换鍫ョ嵁閺嶃劍濯存慨婵嗘湰閹蹭即姊绘担铏瑰笡婵☆偄鍟磋棢闁规崘顕уЧ鏌ユ倵閿濆骸鏋熼柣鎾跺枑娣囧﹪濡堕崒姘闂備胶绮〃鍛涘Δ鍛厺闁圭偓绶為弮鍫濆窛妞ゆ棁顫夌€氬ジ姊洪懡銈呅㈡繛鑼█閸┾偓妞ゆ帒鍟悵顏堟煟韫囧﹤浜鹃梻鍌氬€风粈渚€骞栭锕€绠犻柟閭﹀幗閸欏繘鏌熺紒銏犳灍闁稿鏅犻弻锝夊Χ鎼达紕浠滄繛瀛樼矊缂嶅﹪寮婚悢鍏煎€绘俊顖濆亹閻ｆ椽姊洪崫鍕櫤缂佽鐗嗛～蹇撁洪鍜佹濠电偞鍨堕懝楣冦€傞崫鍕ㄦ斀闁宠棄妫楁禍婵嬫煟閻斿弶娅婇柕鍡曠閳诲酣骞掗弮鍌涙緫闂備礁鎼崯顐﹀磹婵犳碍鍎婇柛顐犲劜閳锋垶鎱ㄩ悷鐗堟悙闁诲繐寮剁换娑欐媴閸愭彃顏い鈺冨厴閺屻劑寮撮悙娴嬪亾瑜版帗鍋傞柡鍥ュ灪閻撳繐鈹戦悙鑼虎闁告柣鍊濋弻娑㈠煛鐎ｎ剛蓱濡炪們鍔婇崕鐢稿箖濞嗘挸绾ч柟瀛樼箥濞兼碍淇婇妶鍥ラ柛瀣仱閺佸啴濮€閵堝啠鍋撴担绯曟瀻闁圭偓娼欏▓鎰版⒑閸愬弶鎯堟い鎴濇喘閻涱噣濮€閵堝棌鎷婚梺绋挎湰閻燂妇绮婇悧鍫涗簻妞ゆ劑鍩勫Σ鎼佹煟閿濆懎妲婚摶锝夋煠濞村娅囬柣鎾愁儏椤啴濡堕崱姗嗘⒖闂佽法鍠嗛崕鑼矉瀹ュ牄浜归柟鐑樻尵閸樼敻姊虹紒妯虹仸閽冮亶鎮樿箛锝呭箹闂囧绻濇繝鍌氭殶缂佸鍎ら幈銊︾節閸涱噮浠╃紓浣介哺鐢帟鐏掗梺鎯х箻閳ь剚绋掗、姗€姊婚崒娆戝妽閻庣瑳鍏犲搫顓兼径濠勬煣濠电偞鍨剁划搴㈢闁秵鈷掑ù锝呮啞閸熺偞绻涚拠褏鐣电€规洖缍婇弻鍡楊吋閸涱垰骞堥梻浣侯攰閹活亪姊介崟顖涘亗婵炲棙鎸婚悡鐘崇箾閺夋埈鍎愭繛鍛噹闇夐柣妯虹－閻﹪鏌嶇憴鍕伌闁搞劑绠栭幃娆撴寠婢跺鍨濋梻鍌欐祰椤曟牠宕板Δ鍛偓鍐川閺夋垹鍙€婵犮垼鍩栭崝鏇犵不閹惰姤鐓欓柟顖嗗苯娈堕悷婊勬緲濞层劎妲愰幘璇茬＜婵炲棙鍨肩粣妤呮⒑閸濄儱校闁绘濞€閵嗕線寮介鐐茬獩闂佸湱鈷堥崢浠嬪疾閿濆鈷戠紒瀣硶缁犳娊鏌涘Ο鐘叉噺椤愪粙鏌ｉ幇顔剧瘈缂佽妫欓妵鍕冀閵娧呯厒闁汇埄鍨辩粙鎺旀崲濞戙垹宸濇い鎾跺枎閺嬬姴鈹戦纭峰姛缂侇噮鍨堕獮蹇涘川鐎涙ê浠梻渚囧弿缁犳垵鈻撳┑鍫㈢＝闁稿本鐟︾粊鐗堛亜閺囧棗娲ょ壕褰掓煕椤垵娅橀柛銈嗘礈缁辨挻鎷呯拹顖滅窗缂備讲妾ч崑鎾绘⒒娴ｈ鍋犻柛搴灦瀹曟繂顓奸崨顏呯€洪梺鎼炲労閸撴岸鍩涢幋鐘电＜閻庯綆鍋勯婊勭節閳ь剟骞嶉鍓э紲闁诲函缍嗛崑鍛暦瀹€鈧埀顒冾潐濞插繘宕规禒瀣畺濞寸姴顑呭婵嗏攽閻樻彃顏╂鐐搭殜濮婃椽鎮烽弶鎸庡€梺浼欑秵娴滎亜鐣风憴鍕瘈婵﹩鍓涢崢鎰版⒑閸濆嫭鍌ㄩ柛銊︽そ閹繝濡烽敂钘夊伎濠碘槅鍨伴悘婵嬫偂閹扮増鐓熼柟鎹愭硾閺嬫盯鏌ｉ幙鍐ㄤ喊鐎规洖鐖兼俊鐑藉Ψ閵夈儛鎴犵磽閸屾瑧顦︽い鎴濈墕閻ｇ兘鎮介崹顐綗闂佸湱鍎ゅ鑽ゅ閸忛棿绻嗘い鏍ㄧ箓娴滃綊鏌ｉ敐鍫燁仩缂佽鲸鎸婚幏鍛存惞閻熸壆顐肩紓鍌欐祰椤曆囨偋閸℃稒鍋╃€瑰嫰鍋婂ḿ銊╂煃瑜滈崜姘┍婵犲偆娼扮€光偓婵犲唭銊х磽閸屾瑦绁板鏉戞憸閹广垽宕煎┑鎰稁缂傚倷鐒﹁摫濠殿垰顕槐鎺戔槈濮楀棗鍓板┑鐐茬墛閸旀瑥顫忓ú顏勭闁绘劖褰冮‖鍡涙⒑閸涘⿴娈旈柛鐔锋健閹箖鎮滅粵瀣櫖闂佺粯鍔樼亸娆愵殽閸ヮ剚鈷戦柣鐔煎亰閸ょ喎鈹戦鈧ḿ褔鍩㈤幘娣亝闁告劏鏂侀幏铏圭磽閸屾瑧鍔嶉拑閬嶆煃闁垮娴柡灞界Т閻ｏ繝骞嶉灏栧徍闁诲孩顔栭崳顕€宕戞繝鍌滄殾闁圭儤顨嗛崐鐑芥倵閻㈢櫥褰掔嵁閸儲鈷掑ù锝囨嚀閳绘洟鏌℃笟鍥ф珝鐎规洘鍨块獮妯肩磼濡厧骞愰梻浣告啞娓氭宕板璺虹疇闁告侗鍠曠换鍡涙煕濞嗗浚妲稿┑顔兼喘閹藉爼鏁愭径瀣哗濠电偞鍨剁敮鎺撴櫠閺屻儲鐓涢柛灞绢殔娴滈箖姊婚崒姘偓鐑芥嚄閸撲礁鍨濇い鏍仜缁€澶愭煛閸モ晛鈧綁鎮㈤崫銉х槇闂佹悶鍎滈崘鈺佸姃闂傚倷鑳剁划顖炲蓟閵娾晜鍎嶆繝闈涱儏缂佲晠鏌ら幁鎺戝姌濞存粍绮撻弻锟犲礃閵婏箑顦╁銈冨劚椤︾敻寮诲☉銏犳閻犲洦绁撮崑鎾斥攽鐎ｎ亞顔戦梺鍓插亝濞叉﹢宕愰悜鑺ョ厽闁瑰鍋嶇紓姘舵煕濮椻偓娴滆泛顫忓ú顏勪紶闁告洦鍓欓崑宥夋⒑閸涘﹥鐓ラ柡鍫墴瀵煡宕奸弴銊︽櫖闂佺粯鍔曢顓㈠储閸楃偐鏀介柣鎰级椤ユ粎绱掔紒妯虹缂侇喚绮换婵嗩潩椤撶姴骞愰梺璇茬箳閸嬬喖寮查锝嗘珡闂佽姘﹂～澶娒洪敃鍌氱；濠电姴鍊婚弳锕傛煟閺冨倵鎷￠柡浣告閺屽秷顧侀柛鎾寸懇閸┿垹顓兼径瀣珳闂佹悶鍎弲婵嬫晬濠靛洨绠鹃弶鍫濆⒔缁嬭崵鎲搁弶鍨殲缂佸倸绉归幃娆擃敆閸屾粎妲囬梻渚€娼ф蹇曞緤閸撗勫厹闁绘劦鍏欐禍婊堟煙鐎涙ḿ绠栫€瑰憡绻勭槐鎺楊敊閸撗冪闂侀潧鐗炵紞浣哥暦濮椻偓閸╋繝宕橀妸銉ь吋闂傚倷娴囬褏鈧稈鏅濈划娆撳箳閹寸姴绠甸柣鐘充航閸斿孩绋夊鍡樺弿婵＄偠顕ф禍楣冩⒑閸濆嫯顫﹂柛鏂跨焸閸┿儲寰勬繛銏㈠枑瀵板嫰鎯傞崫銉戦梺闈涙搐鐎氱増淇婇幖浣规櫜闁告侗鍘艰闂傚倷娴囬鏍窗濡ゅ懏鍋￠柍鍝勬噷閳ь兛绶氬顕€宕煎┑鍫Ч婵＄偑鍊栭幐鑽ゆ崲閸曨厾鐭嗛柛鏇ㄥ灡閳锋帡鏌涚仦鍓ф噭缂佷胶澧楅妵鍕即閻斿搫鈷岄悗瑙勬磻閸楀啿顕ｆ禒瀣垫晝闁靛牆娴傚Σ绋库攽閻樺灚鏆╁┑顔芥尦瀹曟劖绻濆顒佽緢闂佹寧娲栭崐褰掓偂濞嗘劑浜滈柡宥庡亜娴犳粌霉濠婂懎顣煎ǎ鍥э躬閹崇姵锛愬┑鍡橆唲闂備礁鐤囬～澶愬垂閸ф鏄ラ柛鏇ㄥ灠缁€鍐煏婵炑冩噷閸嬧€斥攽閿涘嫬浜奸柛濞垮€濆畷銏°偅閸愩劎顦у┑鈽嗗灟鐠€锕傚吹閺囥垺鍋ｉ柛銉ｅ妿閵堝瓨淇婇幓鎺斿ⅵ闁哄本娲濈粻娑㈠即閻戝棙缍岄梻浣稿暱閹碱偊骞婅箛娑欏亗闊洦鎼╅悢鍡涙偣妤︽寧顏犲褎娲熼弻娑㈠籍閳ь剟骞愰幎钘夎摕婵炴垯鍨瑰Λ妯荤箾閸℃瑥浜惧Δ鏃傜磽閸屾瑦绁板瀛樻倐楠炴劖绻濆顒傤唵闂佸憡渚楅崹鎶芥儗濞嗘挸绠归悗娑櫳戠亸顓灻瑰⿰鍫㈢暫闁哄本绋戦埞鎴﹀礋椤愩垹袘闂備焦妞块崢浠嬪箰妤ｅ啫绠熼柟闂寸劍閸嬪鏌涢锝囩畼闁荤喆鍔戝娲传閸曢潧鍓紓浣藉煐瀹€绋款嚕婵犳碍鍋勯柣鎾虫捣椤︻參鎮峰⿰鍐闁轰緡鍠栭埥澶愬閿涘嫬骞愰梻浣告啞娓氭宕板Δ鍛９闁规壆澧楅悡娑㈡倶閻愰鍤欏┑顔煎€块弻鐔碱敊閸濆嫧鍋撳┑鍡欐殾闁圭儤鍨熷Σ鍫熸叏濡も偓濡梻妲愰敓锟� ---闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻锝夊箣閿濆憛鎾绘煕婵犲倹鍋ラ柡灞诲姂瀵噣宕奸悢鍛婎唶闂備胶枪椤戝棝骞愰崜褍鍨濇い鎾跺亹濡插牊淇婇姘儓缂佺姾顕ч埞鎴︽倷閸欏鏋欐繛瀛樼矋缁捇骞冮垾鏂ユ闁靛骏绱曢崢鍗炩攽閻愭潙鐏ョ€规洦鍓熼悰顔嘉熷Ч鍥︾盎闂佸搫鍊圭€笛囁夐姀鈩冨弿濠电姴鎳忛鐘绘煙閻熸澘顏┑鈩冩倐婵＄兘鏁傞幆褏绋堥梻鍌氬€烽懗鍫曞箠閹捐鍚归柡宥庡幖缁狀垶鏌ㄩ悤鍌涘

利用HTTP-only Cookie缓解XSS之痛

　2009-02-24 13:54:25　来源：WEB开发网　闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁惧墽鎳撻—鍐偓锝庝簻椤掋垺銇勯幇顖毿撻柟渚垮妼椤粓宕卞Δ鈧獮濠勭磽閸屾艾鈧懓顫濋妸鈺佺疅缂佸顑欓崥瀣煕椤愵偅绶氱紓鍐╂礋濮婂宕掑▎鎴М濠电姭鍋撻梺顒€绉甸幆鐐哄箹濞ｎ剙濡肩紒鎰殜閺屸€愁吋鎼粹€茬敖婵炴垶鎸哥粔鐢稿Φ閸曨垰鍐€妞ゆ劦婢€濞岊亪姊虹紒妯诲蔼闁稿海鏁诲濠氭晲婢跺﹤宓嗛梺缁樺姈缁佹挳宕戦幘璇叉嵍妞ゆ挻绋戞禍鐐叏濡厧浜鹃悗姘炬嫹

闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁惧墽鎳撻—鍐偓锝庝簼閹癸綁鏌ｉ鐐搭棞闁靛棙甯掗～婵嬫晲閸涱剙顥氬┑掳鍊楁慨鐑藉磻濞戔懞鍥偨缁嬫寧鐎梺鐟板⒔缁垶宕戦幇鐗堢厵缂備焦锚缁椦囨煃瑜滈崜锕傚矗閸愵煈娼栭柛婵嗗珔瑜斿畷鎯邦槾濞寸姴銈稿铏规嫚閼碱剛顔夐梺鐓庣秺缁犳牠骞冩ィ鍐╁€婚柦妯侯槼閹芥洟姊洪棃娑辨濠碘€虫喘瀹曘垽鎮介崨濞炬嫼闁荤喐鐟ョ€氱兘宕箛娑欑厱闁绘ê纾晶鐢告煏閸℃鈧湱缂撴禒瀣窛濠电姴瀚獮鍫ユ⒑绾懎顥嶉柟娲讳簽濡叉劙寮撮悢鍝勨叞闂傚倸鍊风欢姘缚瑜嶇叅闁靛牆娲犻崑鎾愁潩椤愩垹绁梺缁樹緱閸ｏ綁鐛幒鎳虫棃鍩€椤掑倻涓嶉柨婵嗘缁♀偓闂傚倸鐗婄粙鎴﹀汲濞嗗緷鐟扳堪閸垻鏆梺鍝勭焿缂嶄焦鎱ㄩ埀顒勬煃閹増纭炬繝鈧潏銊х彾闁哄洨鍠撶弧鈧┑顔斤供閸橀箖宕㈤悽鍛娾拺缂備焦锚婵箓鏌涢幘鏉戝摵闁诡喗蓱濞煎繘濡搁妶鍥╃暰闂備礁婀辩划顖滄暜閻愬瓨娅犳繛鎴炴皑绾捐偐绱撴担璐細婵炴彃顕埀顒冾潐濞叉牕鐣烽鍐簷闂備礁鎲￠崝鏇㈠疮閻樿绀堟繝闈涚墛瀹曞弶绻涢幋鐐ㄧ細闁哄棗妫楅埞鎴︽偐鏉堫偄鍘￠梺杞扮劍閻楁粎妲愰幘瀛樺濞寸姴顑呴幗鐢告⒑閸︻厽鍤€婵炲眰鍊濋幃楣冩倻閽樺顔婇梺瑙勬儗閸樹粙宕撻悽鍛娾拺闁荤喐婢橀幃渚€鏌ｉ幒鐐电暤闁诡喗顨婇獮鏍ㄦ媴閸忓瀚藉┑鐐舵彧缁插潡宕曢妶澶婂惞闁逞屽墴濮婃椽骞栭悙娴嬪亾閺嶎厽鍋嬮柣妯垮吹瀹撲線鐓崶銊р姇闁哄懏鎮傞弻銊╂偆閸屾稑顏�

婵犵數濮烽弫鍛婃叏閻戣棄鏋侀柛娑橈攻閸欏繘鏌ｉ幋锝嗩棄闁哄绶氶弻娑樷槈濮楀牊鏁鹃梺鍛婄懃缁绘垿濡甸崟顖氱闁告鍋熸禒鑲╃磽娴ｅ搫顎岄柛銊ョ埣瀵鈽夐姀鐘电杸闂傚倸鐗婄粙鎺楁倶閸儲鍊甸柣鐔哄閸熺偟绱掔拠鎻掓殻濠碉紕鏁诲畷鐔碱敍濮橀硸鍟嬮梺璇查叄濞佳囧箺濠婂牊鍋╁┑鍌氭啞閳锋垹鐥鐐村婵炲吋鍔栫换娑㈡嚑椤掆偓閺嬪孩銇勯銏㈢缂佽鲸甯掕灒闁兼祴鏅滈崵宀勬⒒娓氣偓閳ь剛鍋涢懟顖涙櫠椤旇偐鏆嗛柨婵嗙墕閸斿灚銇勯敂鐣屽弨闁诡噯绻濇俊鑸靛緞鐎ｎ剙甯鹃梻浣稿閸嬪懐鎹㈤崘顔肩；妞ゅ繐鎳愮粻鍓р偓鐟板閸犳洜鑺辨繝姘畾闁绘柨鍚嬮埛鎴︽倵閸︻厼校闁靛棗鍟撮弻銈夊礃閼碱剙鐓熼悗瑙勬礃缁诲牓寮崘顔肩劦妞ゆ帒瀚ч埀顒佹瀹曟﹢顢欓崲澹洦鐓曢柍鈺佸枤濞堟﹢鏌ｉ悢绋垮婵﹥妞介幃鈩冩償閳╁啯鐦ｉ梻浣虹帛閻楁洟濡剁粙璺ㄦ殾闁绘垶岣跨弧鈧梺鎼炲劀閸愩劎銈梻鍌欑窔濞佳勵殽韫囨洘顫曢柡鍥ュ灩閸屻劍銇勮箛鎾跺闁抽攱鍨块弻鐔兼嚃閳轰椒绮堕梺鍛婃⒐椤ㄥ﹪寮婚敓鐘插窛妞ゆ棃鏁慨鍥╃磽娴ｇǹ鈧湱鏁悢濡撳洨鈧潧鎽滅壕濂稿级閸稑濡肩紒妤佺缁绘盯鎮℃惔锝囶啋闂佺硶鏂侀崜婵嬪箯閸涘瓨鐓ラ悗锝呯仛缂嶆姊婚崒姘偓宄懊归崶褜娴栭柕濞炬櫆閸婂潡鏌ㄩ弴鐐测偓鍝ョ不閺屻儲鐓曢柕澶樺枛婢ь噣鏌＄€ｂ晝绐旈柡宀€鍠栧畷婊嗩槾閻㈩垱鐩弻锟犲川椤旇棄鈧劙鏌＄仦璇插闁诡喓鍊濆畷鎺戔槈濮楀棔绱�闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁惧墽鎳撻—鍐偓锝庝簻椤掋垺銇勯幇顖毿撻柟渚垮妼椤粓宕卞Δ鈧獮濠勭磽閸屾艾鈧懓顫濋妸鈺佺疅缂佸顑欓崥瀣煕椤愵偅绶氱紓鍐╂礋濮婂宕掑▎鎴М濠电姭鍋撻梺顒€绉甸幆鐐哄箹濞ｎ剙濡肩紒鎰殜閺屸€愁吋鎼粹€茬敖婵炴垶鎸哥粔鐢稿Φ閸曨垰鍐€妞ゆ劦婢€濞岊亪姊虹紒妯诲蔼闁稿海鏁诲濠氭晲婢跺﹤宓嗛梺缁樺姈缁佹挳宕戦幘璇叉嵍妞ゆ挻绋戞禍鐐叏濡厧浜鹃悗姘炬嫹　　闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻锝夊箣閿濆憛鎾绘煕閵堝懎顏柡灞诲€濆畷顐﹀Ψ閿旇姤鐦庡┑鐐差嚟婵潧顫濋妸褎顫曢柟鎹愵嚙绾惧吋绻涢崱妯虹瑨闁告﹫绱曠槐鎾寸瑹閸パ勭彯闂佹悶鍔岄悥鍏间繆閹绢喖绀冩い鏃傚帶缁愭盯姊洪崫鍕垫Ч闁搞劌缍婂畷銏犆洪鍛偓鍨殽閻愯尙浠㈤柛鏃€纰嶉妵鍕晜鐠囪尙浠搁悗瑙勬穿缁绘繈鐛惔銊﹀殟闁靛／鍐ㄥ闂傚倸饪撮崑鍕洪敃鈧叅闁哄秲鍔庢晶锟犳⒒閸屾瑦绁版い鏇嗗應鍋撻崹顐㈡诞鐎规洘绮撻幃銏＄附婢跺绋侀梻浣瑰劤缁绘劕锕㈡潏鈺侇棜闁稿繘妫跨换鍡樸亜閺嶃劎顣查柟顖氱墛閵囧嫰顢曢姀銏㈠姱濠殿喖锕ュ钘夌暦閻戠瓔鏁囨繛鎴炵懃閻濋亶姊绘担鍛靛綊顢栭崨顓囨稑鈹戠€ｎ亞鐣鹃梺閫炲苯澧柕鍥у缁犳盯骞樼€垫悶鍋愭繝纰樻閸ㄦ壆鈧碍婢橀～蹇撁洪鍕炊闂佸憡娲﹂崜姘跺箯閸楃偐鏀介柣鎰絻缁狙冪暆閿濆懏鍋ユ鐐村灴婵偓闁绘﹩鍋呴弬鈧┑鐘垫暩婵鈧凹鍣ｅ鍫曞箹娴ｅ厜鎷洪梺鍛婄箓鐎氼厼顔忓┑鍡忔斀妞ゆ梹鍎抽崢鎾煙椤旇宓嗗┑锛勫厴閸╋繝宕掑Δ浣割伜婵犵數鍋犻幓顏嗗緤娴犲绠规い鎰╁€栭弳婊堟偣鏉炴媽顒熼柣鏂挎閺岋綁鎮㈠畡鎵泿闂佽　鍋撻柤濮愬€楃壕濂告煕鐏炵偓鐨戠€涙繂螖濡ゅ﹣绨烽柛妤€鍟块悾鐑芥偂鎼搭喗鍍甸梺鎸庣箓閹冲秵绔熼弴銏♀拺闁告繂瀚弳娆撴煟濡も偓濡稓鍒掗崼銉ョ闁崇懓銇樼花濠氭椤愩垺鎼愭繛瀵稿厴钘濋柨鏇楀亾闂囧绻濇繝鍌滃ⅱ闁伙絾妞介弻锛勪沪鐠囨彃顬堥梺瀹狀潐閸ㄥ灝鐣烽崡鐐╂闁瑰吀绀佹禍鐐繆閵堝倸浜惧銈庡弨閸庡篓娓氣偓閺屾盯鎮╁畷鍥р拰濠电姭鍋撳〒姘ｅ亾婵﹨娅ｇ槐鎺懳熼弴鐔风伌闁诡喚鍏樻俊鐤槷闁稿鎸搁～婵嬫偂鎼淬垻浜剧紓鍌欑贰閸犳氨鍒掗鐐参ч柨婵嗩槸缁€鍐煃閸濆嫬鏆欐鐐茬墛娣囧﹪鎮欓鍕ㄥ亾閺嶎厼绀夐柟杈剧畱绾惧綊鏌￠崶銉ョ仼闁告垹濞€楠炴牕菐椤掆偓婵′粙鏌ｉ幘璺烘灈闁绘搩鍋婂畷鎯邦檨闁稿骸绻橀弻娑㈠籍閳ь剛鍒掗幘璇茶摕闁哄洢鍨归悙濠勬喐瀹ュ鏁傛い鎾跺Л閸嬫挸鈻撻崹顔界亶濠电偛鍚嬮悷銊╂倶閹烘鈷戦柛娑橈功缁犳捇鎮楀鐓庡⒉妞ゃ倕鍊圭换婵堝枈婢跺瞼锛熼梺绋款儐閸ㄥ灝鐣烽幇鏉跨闁挎洍鍋撻柛銊ュ€圭换娑橆啅椤旇崵鍑归梺绋款儜缁绘繈寮诲澶婁紶闁告洦鍓欏▍锝囩磽娴ｅ搫校闁绘濞€瀵顓兼径濠勫幐婵炶揪绲介幉鈥斥枔閺屻儲鈷戠紒瀣閹癸綁鏌涢悩宕囧⒌鐎殿喖顭峰鎾閻橀潧鈧偤鎮峰⿰鍐ら柤楦块哺缁绘繂顫濋鐘插箥闂備礁鎲￠崹顖炲磹閺嶎偀鍋撳鐐

核心提示：我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释，然后详细说明了如何利用HTTP-only cookie来保护敏感数据，利用HTTP-only Cookie缓解XSS之痛，最后介绍了实现HTTP-only cookie时确定浏览器版本的具体问题，一、XSS与HTTP-only Cookie简介跨站

我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释，然后详细说明了如何利用HTTP-only cookie来保护敏感数据，最后介绍了实现HTTP-only cookie时确定浏览器版本的具体问题。

一、XSS与HTTP-only Cookie简介

跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞，常见于当把用户的输入作为HTML提交时，服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险，微软公司的Internet Explorer 6 SP1引入了一项新的特性。

这个特性是为Cookie提供了一个新属性，用以阻止客户端脚本访问Cookie。

像这样具有该属性的cookie被称为HTTP-only cookie。包含在HTTP-only cookie中的任何信息暴露给黑客或者恶意网站的几率将会大大降低。下面是设置HTTP-only cookie的一个报头的示例：

Set-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly

上面我们介绍了HTTP-only Cookie；下面我们开始向读者介绍跨站点脚本攻击、允许通过脚本访问的cookie所带来的潜在危险以及如何通过HTTP-only来降低跨站点脚本攻击的风险。　　　

跨站点脚本攻击是一种服务器端常见的安全漏洞，它使得黑客可以欺骗用户从而导致用户在某个Web 站点上的敏感信息的泄漏。下面通过一个简单的示例来解释一个跨站点脚本攻击的相关步骤。

二、跨站点脚本攻击示例

为了解释跨站点脚本攻击是如何被黑客利用的，我们假想了下面的一个例子：

A证券公司运行了一个Web 站点，该站点允许您跟踪某股票的最新价格。为了提高用户体验，登录A证券公司的Web 站点之后，你将被重定向到www.azhengquan.com/default.asp?name = < script > evilScript()< / script >张三，并且有一个服务器端脚本生成一个欢迎页面，内容为“欢迎您回来，张三！”。

你的股票数据被存放在一个数据库中，并且Web 站点会在你的计算机上放置一个cookie，其中包含了对这个数据库非常重要的数据。每当你访问A证券公司站点时，浏览器都会自动发送该cookie。

一个黑客发现A证券公司公司的Web 站点存在一个跨站点脚本攻击缺陷，所以他决定要利用这点来收集你所持股票的名称等敏感信息。黑客会您你发送一封电子邮件，声称您中奖了，并且需要点击某个链接如“点击这里”来领取奖品。注意，该链接将超链接到www.azhengquan.com/default.asp?name=< script >evilScript()< / script > 当您点击这个链接，映入眼帘您的将是“欢迎您回来！”—— 等等，您的姓名哪里去了？事实上，单击电子邮件内的链接之后，你实际上就是在通知A证券公司公司的Web 站点，你的姓名是< script　　> evilScript()<　 /script >。Web服务器把用这个“名字”生成的HTML返回给你，但是你的浏览器会把这个“名字”作为脚本代码解释，脚本执行后便出现了我们前面看到的一幕。一般情况下，支持客户端脚本是浏览器的典型功能之一。如果这个脚本命令浏览器向黑客的计算机发回一个cookie，即使这个cookie包含有您的股票的有关信息，您的浏览器也会老老实实地执行。最后，那些来自A证券公司的Web 站点的指令获取了那个包含敏感信息的cookie。

下面是跨站脚本攻击的示意图，它详细的展示了攻击的五个步骤。首先，用户点击了黑客发来的电子邮件中的一个嵌入的链接（第1步）。由于跨站点脚本攻击缺陷的原因，这样会导致用户的浏览器向Web 站点发送一个请求（第2步）；服务器端根据该请求会生成一个包含恶意脚本的响应，并将其发回给用户的浏览器（第3步）。当用户的机器执行返回的恶意代码时（第4步），就会将用户的敏感数据发送给黑客的计算机（第5步）。

图片看不清楚？请点击这里查看原图（大图）。

图1

我们可以看到，这个过程只需要用户单击了一个链接，然后就会有指令发送给Web服务器，然后Web服务器生成一个嵌入恶意脚本的网页；浏览器运行这个来自受信任的源的脚本，却致使信息泄漏给黑客的计算机。跨站点脚本攻击有许多不同的形式，这里只是其中的一种。

三、用HTTP-only Cookie保护数据

为了缓解跨站点脚本攻击带来的信息泄露风险，Internet Explorer 6 SP1为Cookie引入了一个新属性。这个属性规定，不许通过脚本访问cookie。使用HTTP-only Cookie后，Web 站点就能排除cookie中的敏感信息被发送给黑客的计算机或者使用脚本的Web站点的可能性。

Cookie通常是作为HTTP 应答头发送给客户端的，下面的例子展示了相应的语法（注意，HttpOnly属性对大小写不敏感）：

Set-Cookie: =[; =]

[; expires=][; domain=]

[; path=][; secure][; HttpOnly]

即使应答头中含有HttpOnly属性，当用户浏览有效域中的站点时，这个cookie仍会被自动发送。但是，却不能够在Internet Explorer 6 SP1中使用脚本来访问该cookie，即使起初建立该cookie的那个Web 站点也不例外。这意味着，即使存在跨站点脚本攻击缺陷，并且用户被骗点击了利用该漏洞的链接，Internet Explorer也不会将该cookie发送给任何第三方。这样的话，就保证了信息的安全。

注意，为了降低跨站点脚本攻击带来的损害，通常需要将HTTP-only Cookie和其他技术组合使用。如果单独使用的话，它无法全面抵御跨站点脚本攻击。

四、支持HTTP-only Cookie的浏览器

如果Web 站点为不支持HTTP-only Cookie的浏览器建立了一个HTTP-only cookie的话，那么该cookie不是被忽略就是被降级为普通的可以通过脚本访问的cookie。这还是会导致信息容易被泄露。

对于公司内部网中的web页面，管理员可以要求所有用户都是由支持HTTP-only Cookie的浏览器，这样能保证信息不会由于跨站点脚本攻击缺陷而泄露。

对于公共Web 站点，由于需要支持各种各样的浏览器，这时可以考虑使用客户端脚本来确定不同访问者所使用的浏览器的版本。Web 站点可以通过向支持～的浏览器发送敏感信息以减轻跨站点脚本攻击对Cookie的威胁。对于那些使用不支持HTTP-only Cookie的浏览器的访问者，可以限制为其提供的信息或功能，并要求升级他们的软件。

当确定Internet Explorer的版本时，重要的是记住Internet Explorer 6 SP1 的用户代理字符串跟Internet Explorer 6的用户代理字符串是一样的。客户端脚本还必须使用navigator对象的appMinorVersion属性检测主版本号，这样才能确定出客户端是否安装了Internet Explorer 6 SP1。

五、小结

在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，而本文将向读者介绍一种用以缓解这种压力的技术，即HTTP-only cookie。我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释，然后详细说明了如何利用HTTP-only cookie来保护敏感数据，最后介绍了实现HTTP-only cookie时确定浏览器版本的具体问题。