论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
Web安全
[20791] 2017-06-18_利用HTTP-onlyCookie缓解XSS之痛
文档创建者:
s7ckTeam
浏览次数:
3
最后更新:
2025-01-18
Web安全
3 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-56
6万
主题
-6万
回帖
-56
积分
管理员
积分
-56
发消息
2017-06-18_利用HTTP-onlyCookie缓解XSS之痛
利
用
H
T
T
P
-
o
n
l
y
C
o
o
k
i
e
缓
解
X
S
S
之
痛
L
e
m
o
n
S
e
c
2
0
1
7
-
0
6
-
1
8
在
W
e
b
安
全
领
域
,
跨
站
脚
本
攻
击
时
最
为
常
见
的
一
种
攻
击
形
式
,
也
是
长
久
以
来
的
一
个
老
大
难
问
题
,
而
本
文
将
向
读
者
介
绍
的
是
一
种
用
以
缓
解
这
种
压
力
的
技
术
,
即
H
T
T
P
-
o
n
l
y
c
o
o
k
i
e
。
一
、
X
S
S
与
H
T
T
P
-
o
n
l
y
C
o
o
k
i
e
简
介
跨
站
点
脚
本
攻
击
是
困
扰
W
e
b
服
务
器
安
全
的
常
见
问
题
之
一
。
跨
站
点
脚
本
攻
击
是
一
种
服
务
器
端
的
安
全
漏
洞
,
常
见
于
当
把
用
户
的
输
入
作
为
H
T
M
L
提
交
时
,
服
务
器
端
没
有
进
行
适
当
的
过
滤
所
致
。
跨
站
点
脚
本
攻
击
可
能
引
起
泄
漏
W
e
b
站
点
用
户
的
敏
感
信
息
。
为
了
降
低
跨
站
点
脚
本
攻
击
的
风
险
,
微
软
公
司
的
I
n
t
e
r
n
e
t
E
x
p
l
o
r
e
r
6
S
P
1
引
入
了
一
项
新
的
特
性
。
这
个
特
性
是
为
C
o
o
k
i
e
提
供
了
一
个
新
属
性
,
用
以
阻
止
客
户
端
脚
本
访
问
C
o
o
k
i
e
。
像
这
样
具
有
该
属
性
的
c
o
o
k
i
e
被
称
为
H
T
T
P
-
o
n
l
y
c
o
o
k
i
e
。
包
含
在
H
T
T
P
-
o
n
l
y
c
o
o
k
i
e
中
的
任
何
信
息
暴
露
给
黑
客
或
者
恶
意
网
站
的
几
率
将
会
大
大
降
低
。
下
面
是
设
置
H
T
T
P
-
o
n
l
y
c
o
o
k
i
e
的
一
个
报
头
的
示
例
:
H
t
m
l
代
码
1
.
S
e
t
-
C
o
o
k
i
e
:
U
S
E
R
=
1
2
3
;
e
x
p
i
r
e
s
=
W
e
d
n
e
s
d
a
y
,
0
9
-
N
o
v
-
9
9
2
3
:
1
2
:
4
0
G
M
T
;
H
t
t
p
O
n
l
y
上
面
我
们
介
绍
了
H
T
T
P
-
o
n
l
y
C
o
o
k
i
e
;
下
面
我
们
开
始
向
读
者
介
绍
跨
站
点
脚
本
攻
击
、
允
许
通
过
脚
本
访
问
的
c
o
o
k
i
e
所
带
来
的
潜
在
危
险
以
及
如
何
通
过
H
T
T
P
-
o
n
l
y
来
降
低
跨
站
点
脚
本
攻
击
的
风
险
。
跨
站
点
脚
本
攻
击
是
一
种
服
务
器
端
常
见
的
安
全
漏
洞
,
它
使
得
黑
客
可
以
欺
骗
用
户
从
而
导
致
用
户
在
某
个
W
e
b
站
点
上
的
敏
感
信
息
的
泄
漏
。
下
面
通
过
一
个
简
单
的
示
例
来
解
释
一
个
跨
站
点
脚
本
攻
击
的
相
关
步
骤
。
二
、
跨
站
点
脚
本
攻
击
示
例
为
了
解
释
跨
站
点
脚
本
攻
击
是
如
何
被
黑
客
利
用
的
,
我
们
假
想
了
下
面
的
一
个
例
子
:
A
证
券
公
司
运
行
了
一
个
W
e
b
站
点
,
该
站
点
允
许
您
跟
踪
某
股
票
的
最
新
价
格
。
为
了
提
高
用
户
体
验
,
登
录
A
证
券
公
司
的
W
e
b
站
点
之
后
,
你
将
被
重
定
向
到
w
w
w
.
a
z
h
e
n
g
q
u
a
n
.
c
o
m
/
d
e
f
a
u
l
t
.
a
s
p
?
n
a
m
e
=
<
s
c
r
i
p
t
>
e
v
i
l
S
c
r
i
p
t
(
)
<
/
s
c
r
i
p
t
>
张
三
,
并
且
有
一
个
服
务
器
端
脚
本
生
成
一
个
欢
迎
页
面
,
内
容
为
“
欢
迎
您
回
来
,
张
三
!
”
。
你
的
股
票
数
据
被
存
放
在
一
个
数
据
库
中
,
并
且
W
e
b
站
点
会
在
你
的
计
算
机
上
放
置
一
个
c
o
o
k
i
e
,
其
中
包
含
了
对
这
个
数
据
库
非
常
重
要
的
数
据
。
每
当
你
访
问
A
证
券
公
司
站
点
时
,
浏
览
器
都
会
自
动
发
送
该
c
o
o
k
i
e
。
一
个
黑
客
发
现
A
证
券
公
司
公
司
的
W
e
b
站
点
存
在
一
个
跨
站
点
脚
本
攻
击
缺
陷
,
所
以
他
决
定
要
利
用
这
点
来
收
集
你
所
持
股
票
的
名
称
等
敏
感
信
息
。
黑
客
会
您
你
发
送
一
封
电
子
邮
件
,
声
称
您
中
奖
了
,
并
且
需
要
点
击
某
个
链
接
如
“
点
击
这
里
”
来
领
取
奖
品
。
注
意
,
该
链
接
将
超
链
接
到
w
w
w
.
a
z
h
e
n
g
q
u
a
n
.
c
o
m
/
d
e
f
a
u
l
t
.
a
s
p
?
n
a
m
e
=
<
s
c
r
i
p
t
>
e
v
i
l
S
c
r
i
p
t
(
)
<
/
s
c
r
i
p
t
>
当
您
点
击
这
个
链
接
,
映
入
眼
帘
您
的
将
是
“
欢
迎
您
回
来
!
”
—
—
等
等
,
您
的
姓
名
哪
里
去
了
?
事
实
上
,
单
击
电
子
邮
件
内
的
链
接
之
后
,
你
实
际
上
就
是
在
通
知
A
证
券
公
司
公
司
的
W
e
b
站
点
,
你
的
姓
名
是
<
s
c
r
i
p
t
>
e
v
i
l
S
c
r
i
p
t
(
)
<
/
s
c
r
i
p
t
>
。
W
e
b
服
务
器
把
用
这
个
“
名
字
”
生
成
的
H
T
M
L
返
回
给
你
,
但
是
你
的
浏
览
器
会
把
这
个
“
名
字
”
作
为
脚
本
代
码
解
释
,
脚
本
执
行
后
便
出
现
了
我
们
前
面
看
到
的
一
幕
。
一
般
情
况
下
,
支
持
客
户
端
脚
本
是
浏
览
器
的
典
型
功
能
之
一
。
如
果
这
个
脚
本
命
令
浏
览
器
向
黑
客
的
计
算
机
发
回
一
个
c
o
o
k
i
e
,
即
使
这
个
c
o
o
k
i
e
包
含
有
您
的
股
票
的
有
关
信
息
,
您
的
浏
览
器
也
会
老
老
实
实
地
执
行
。
最
后
,
那
些
来
自
A
证
券
公
司
的
W
e
b
站
点
的
指
令
获
取
了
那
个
包
含
敏
感
信
息
的
c
o
o
k
i
e
。
下
面
是
跨
站
脚
本
攻
击
的
示
意
图
,
它
详
细
的
展
示
了
攻
击
的
五
个
步
骤
。
首
先
,
用
户
点
击
了
黑
客
发
来
的
电
子
邮
件
中
的
一
个
嵌
入
的
链
接
(
第
1
步
)
。
由
于
跨
站
点
脚
本
攻
击
缺
陷
的
原
因
,
这
样
会
导
致
用
户
的
浏
览
器
向
W
e
b
站
点
发
送
一
个
请
求
(
第
2
步
)
;
服
务
器
端
根
据
该
请
求
会
生
成
一
个
包
含
恶
意
脚
本
的
响
应
,
并
将
其
发
回
给
用
户
的
浏
览
器
(
第
3
步
)
。
当
用
户
的
机
器
执
行
返
回
的
恶
意
代
码
时
(
第
4
步
)
,
就
会
将
用
户
的
敏
感
数
据
发
送
给
黑
客
的
计
算
机
(
第
5
步
)
。
我
们
可
以
看
到
,
这
个
过
程
只
需
要
用
户
单
击
了
一
个
链
接
,
然
后
就
会
有
指
令
发
送
给
W
e
b
服
务
器
,
然
后
W
e
b
服
务
器
生
成
一
个
嵌
入
恶
意
脚
本
的
网
页
;
浏
览
器
运
行
这
个
来
自
受
信
任
的
源
的
脚
本
,
却
致
使
信
息
泄
漏
给
黑
客
的
计
算
机
。
跨
站
点
脚
本
攻
击
有
许
多
不
同
的
形
式
,
这
里
只
是
其
中
的
一
种
。
三
、
用
H
T
T
P
-
o
n
l
y
C
o
o
k
i
e
保
护
数
据
为
了
缓
解
跨
站
点
脚
本
攻
击
带
来
的
信
息
泄
露
风
险
,
I
n
t
e
r
n
e
t
E
x
p
l
o
r
e
r
6
S
P
1
为
C
o
o
k
i
e
引
入
了
一
个
新
属
性
。
这
个
属
性
规
定
,
不
许
通
过
脚
本
访
问
c
o
o
k
i
e
。
使
用
H
T
T
P
-
o
n
l
y
C
o
o
k
i
e
后
,
W
e
b
站
点
就
能
排
除
c
o
o
k
i
e
中
的
敏
感
信
息
被
发
送
给
黑
客
的
计
算
机
或
者
使
用
脚
本
的
W
e
b
站
点
的
可
能
性
。
C
o
o
k
i
e
通
常
是
作
为
H
T
T
P
应
答
头
发
送
给
客
户
端
的
,
下
面
的
例
子
展
示
了
相
应
的
语
法
(
注
意
,
H
t
t
p
O
n
l
y
属
性
对
大
小
写
不
敏
感
)
:
H
t
m
l
代
码
1
.
S
e
t
-
C
o
o
k
i
e
:
=
[
;
=
]
2
.
[
;
e
x
p
i
r
e
s
=
]
[
;
d
o
m
a
i
n
=
]
3
.
[
;
p
a
t
h
=
]
[
;
s
e
c
u
r
e
]
[
;
H
t
t
p
O
n
l
y
]
即
使
应
答
头
中
含
有
H
t
t
p
O
n
l
y
属
性
,
当
用
户
浏
览
有
效
域
中
的
站
点
时
,
这
个
c
o
o
k
i
e
仍
会
被
自
动
发
送
。
但
是
,
却
不
能
够
在
I
n
t
e
r
n
e
t
E
x
p
l
o
r
e
r
6
S
P
1
中
使
用
脚
本
来
访
问
该
c
o
o
k
i
e
,
即
使
起
初
建
立
该
c
o
o
k
i
e
的
那
个
W
e
b
站
点
也
不
例
外
。
这
意
味
着
,
即
使
存
在
跨
站
点
脚
本
攻
击
缺
陷
,
并
且
用
户
被
骗
点
击
了
利
用
该
漏
洞
的
链
接
,
I
n
t
e
r
n
e
t
E
x
p
l
o
r
e
r
也
不
会
将
该
c
o
o
k
i
e
发
送
给
任
何
第
三
方
。
这
样
的
话
,
就
保
证
了
信
息
的
安
全
。
注
意
,
为
了
降
低
跨
站
点
脚
本
攻
击
带
来
的
损
害
,
通
常
需
要
将
H
T
T
P
-
o
n
l
y
C
o
o
k
i
e
和
其
他
技
术
组
合
使
用
。
如
果
单
独
使
用
的
话
,
它
无
法
全
面
抵
御
跨
站
点
脚
本
攻
击
。
我
们
可
以
看
到
,
这
个
过
程
只
需
要
用
户
单
击
了
一
个
链
接
,
然
后
就
会
有
指
令
发
送
给
W
e
b
服
务
器
,
然
后
W
e
b
服
务
器
生
成
一
个
嵌
入
恶
意
脚
本
的
网
页
;
浏
览
器
运
行
这
个
来
自
受
信
任
的
源
的
脚
本
,
却
致
使
信
息
泄
漏
给
黑
客
的
计
算
机
。
跨
站
点
脚
本
攻
击
有
许
多
不
同
的
形
式
,
这
里
只
是
其
中
的
一
种
。
查
看
更
多
文
章
,
关
注
下
方
二
维
码
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
Web安全