《Web应用安全权威指南》的原文摘录
-
未指定Domain属性时,Cookie只被发送至生成它的服务器。换言之,未指定Domain属性的Cookie发送范围最小,最安全。
设置了Secure属性的Cookie尽在SSL传输的情况下能够被发送给服务器。而未设置安全属性的Cookie则无关是否为SSL传输,都会被发送。
设置了HttpOnly属性也无法彻底抵御跨站脚本攻击,但是能加大攻击的难度。 (查看原文)
-
同源策略(Same Origin Policy)是禁止Javascript进行跨站访问的安全策略。它也是浏览器的沙盒环境所提供的一项制约。
严格来说,“同源”需满足以下全部条件。
- URL的主机(FQDN: Full Qualified Dmoain Name,全称域名)一致。
- Schema(协议)一致。
- 端口号一致。 (查看原文)
-
X-FRAME-OPTIONS是微软公司提出的一种限制frame和iframe访问权限的方案……
X-FRAME-OPTIONS被定义在相应头信息中,值为DENY(拒绝)或者SAMEORIGIN(仅限同源)。指定了DENY的相应将不能显示在frame等的内层中,而SAMEORIGIN的\\
情况下则仅当与地址栏上显示的域名为同源时才能够被显示。 (查看原文)
