为了安全起见,我应该了解Cookie的域和范围吗?
|
在哪里可以了解(或了解)cookie的范围,从而避免对经过身份验证的用户进行CSRF和XSS攻击?
例如,如果我有一个多租户系统,其中一个用户可以访问一个或多个站点,那么更安全:
company1.hoster.com
company2.hoster.com
company3.hoster.com
要么
www.hoster.com/company1
www.hoster.com/company2
www.hoster.com/company3
如果在\“ hoster.com \”上设置cookie,会发生什么情况?
没有找到相关结果
已邀请:
2 个回复
孤捷侩
省略Domain属性会使cookie仅对设置了该cookie的域有效。对于
,该cookie对于前缀为
的任何路径均有效。 要将Cookie设置为仅适用于
:
与上述示例的解释相同。唯一的限制是您需要使用
而不是
,因为
会等同于
,因此cookie也会对
和
同样有效。 为了避免可以通过JavaScript读取cookie(减少使用XSS可以访问的资产),请设置HttpOnly属性。
嗓瑰