Httponly cookie'ler XSS saldırılarına karşı dolaylı bir çözüm sağlıyor. Çünkü, HTTPonly cookie'lere javascript yardımıyla ulaşılalamıyor.
Bu da XSS saldırılarının/senaryolarının en tehlikesini ortadan kaldırıyor.Şu ana kadar, Firefox, bu tip cookie'leri destekleme konusunda IE'den geri kalmıştı.(ilginç ama doğru)
Firefox, son olarak 2.0.0.5 versiyonunda bu özelliği ekledi.Artık, HTTPonly cookie'ler Firefox tarafından destekleniyor.
Yeni ateşli tilki versiyonumuzu indirip ufak bir test yapalım.
test.php
<?
header("Set-Cookie: hidden=value; httpOnly");
?>
<script>alert(document.cookie)</script>
Eğer Firefox 2.0.0.5 kullanıyorsanız sonuç boş dönüyor.
HTTPonly cookie'ler hakkında buradan bilgi alabilirsiniz.
« önceki yazı Zana terk et Türkiye'yi |
sonraki yazı » Akp'nin sırrı ne? |
pillinetwork sitelerine yorum ekleyebilmek ve daha fazlası için, üye olun ya da giriş yapın.
