html 쿠키 예제

경로 특성은 다른 경로에서 쿠키를 무단으로 읽지 못하도록 보호하지 않습니다. 예를 들어 쿠키의 경로가 있는 숨겨진 요소를 만든 다음 이 iframe의 contentDocument.cookie 속성에 액세스하여 DOM을 사용하여 쉽게 우회할 수 있습니다. 쿠키를 보호하는 유일한 방법은 동일한 원본 정책으로 인해 다른 도메인 또는 하위 도메인을 사용하는 것입니다. 호환되지 않는 전송된 쿠키는 브라우저에서 거부됩니다. 이렇게 하면 하위 도메인이 이 이름으로 쿠키를 만들면 하위 도메인에 국한되거나 완전히 무시됩니다. 응용 프로그램 서버는 사용자가 인증되었는지 CSRF 토큰이 올바른지 확인할 때 특정 쿠키 이름만 확인하므로 세션 고정에 대한 방어 조치로 효과적으로 작동합니다. 이렇게 하면 서버는 이 요청이 이전 요청과 관련이 있음을 알고 있습니다. 서버는 요청된 페이지를 전송하여 응답할 수 있으며, 새 쿠키를 추가하거나 기존 쿠키를 수정하거나 쿠키를 삭제하기 위해 응답에 더 많은 Set-Cookie 헤더를 포함할 수 있습니다. 위의 예제에서는 페이지가 로드될 때 checkCookie() 함수를 실행합니다. 이 방법은 트래커의 관점에서 두 가지 장점을 제공합니다. 첫째, 추적 정보를 URL이 아닌 HTTP 요청 본문에 배치하면 일반 사용자가 추적하지 않습니다.

둘째, 사용자가 URL을 복사할 때 세션 정보가 복사되지 않습니다(예: 페이지를 북마크하거나 전자 메일을 통해 보내기). 쿠키는 현대 웹에서 필수적인 기능을 수행합니다. 가장 중요한 것은 인증 쿠키가 사용자가 로그인했는지 여부와 로그인한 계정을 알기 위해 웹 서버에서 사용하는 가장 일반적인 방법입니다. 이러한 메커니즘이 없으면 사이트는 중요한 정보가 포함된 페이지를 보낼지 또는 로그인하여 사용자가 자신을 인증하도록 요구할지 알 수 없습니다. 인증 쿠키의 보안은 일반적으로 발급 웹 사이트와 사용자의 웹 브라우저의 보안 및 쿠키 데이터가 암호화되는지 여부에 따라 달라집니다. 보안 취약점으로 인해 해커가 쿠키데이터를 읽거나, 사용자 데이터에 액세스하거나, 쿠키가 속한 웹 사이트에 대한 액세스(사용자의 자격 증명 포함)에 사용할 수 있습니다(사이트 간 스크립팅 및 사이트 간 요청 위조 참조) 예)를 참조하십시오. [1] XSS(교차 사이트 스크립팅) 공격을 완화하기 위해 HttpOnly 쿠키는 JavaScript의 Document.cookie API에 액세스할 수 없습니다. 서버로만 전송됩니다. 예를 들어 서버 쪽 세션을 유지하는 쿠키는 JavaScript에서 사용할 수 없으며 HttpOnly 플래그를 설정해야 합니다. 또는 상위 도메인이 포함된 Subdomains 집합과 함께 HSTS를 사용하지 않는 경우 활성 MitM(개방형 WiFi 네트워크에 연결됨)의 사용자 대상이 존재하지 않는 하위 도메인의 Set-Cookie 헤더로 응답을 제공받을 수 있습니다.

Det här inlägget postades i Okategoriserade. Bokmärk permalänken.