cookie被獲取怎么辦？1.將Cookie的HttpOnly屬性設(shè)置為true。一般來(lái)說，跨站腳本攻擊(XSS)最常見的是在交互式網(wǎng)站(如論壇、微博等)中嵌入javascript腳本。).當(dāng)其他用戶

cookie被獲取怎么辦？

1.將Cookie的HttpOnly屬性設(shè)置為true。

一般來(lái)說，跨站腳本攻擊(XSS)最常見的是在交互式網(wǎng)站(如論壇、微博等)中嵌入javascript腳本。).當(dāng)其他用戶訪問嵌入腳本的網(wǎng)頁(yè)時(shí)，攻擊者可以用戶 的cookie信息。如果網(wǎng)站開發(fā)者將cookie的httponly屬性設(shè)置為true，那么瀏覽器客戶端將不允許網(wǎng)頁(yè)中嵌入的javascript腳本讀取用戶 的cookie信息。

2.將cookie的安全屬性設(shè)置為true。

雖然模式1可以防止攻擊者通過javascript腳本cookie，但是沒有辦法防止攻擊者通過fiddler等抓包工具直接攔截請(qǐng)求包獲取cookie信息。這時(shí)候設(shè)置安全屬性就很重要了。當(dāng)設(shè)置了securetrue時(shí)，那么cookies只能加載到https協(xié)議下的請(qǐng)求包中，而不會(huì)發(fā)送到http協(xié)議下的服務(wù)器。https比http更安全，因此可以防止cookies被添加到http協(xié)議請(qǐng)求數(shù)據(jù)包中，并暴露給數(shù)據(jù)包抓取工具。

3.將cookie的samesite屬性設(shè)置為strict或lax。

如上所述，攻擊者獲得cookie后，還會(huì)發(fā)起跨站請(qǐng)求偽造(CSRF)攻擊。這種攻擊通常在第三方網(wǎng)站發(fā)起的請(qǐng)求中攜帶受害者cookie信息，將samesite設(shè)置為嚴(yán)格或?qū)捤珊?，可以限制第三方cookie，從而防止CSRF攻擊。當(dāng)然，也有一種常見的方法來(lái)檢查令牌和referer請(qǐng)求頭，以防止CSRF攻擊，感興趣的讀者也可以自己閱讀材料來(lái)了解一下。

4.設(shè)置cookie的過期屬性值。

通常情況下，cookies的有效期會(huì)被設(shè)置為永久有效或長(zhǎng)期為正值。這樣的cookie會(huì)被存儲(chǔ)在本地，攻擊者在獲取cookie信息后可以長(zhǎng)時(shí)間控制用戶賬號(hào)。如果過期值設(shè)置為-1，cookie將只存儲(chǔ)在客戶端內(nèi)存中，當(dāng)瀏覽器客戶端關(guān)閉時(shí)，cooki

IE瀏覽網(wǎng)站常常會(huì)跳出腳本debug，如何永久關(guān)閉這個(gè)提示？

選擇互聯(lián)網(wǎng)選項(xiàng)-高級(jí)- "禁用腳本調(diào)試和 "顯示每個(gè)腳本錯(cuò)誤的通知，第一個(gè)勾選，最后一個(gè)不勾選。