6a96547ef0
git-svn-id: http://webgoat.googlecode.com/svn/branches/webgoat-6.0@485 4033779f-a91e-0410-96ef-6bf7bf53c507
24 lines
2.1 KiB
HTML
24 lines
2.1 KiB
HTML
<div align="Center">
|
||
<p><b>Название урока:</b> Проверка HttpOnly</p>
|
||
</div>
|
||
<p><b>Тема для изучения:</b></p>
|
||
<!-- Start Instructions -->
|
||
Для того чтоб помешать проведению XSS-нападений компания Microsoft
|
||
ввела новый параметр для cookies, называемый 'HttpOnly'. Если данный флаг
|
||
активен, то браузер не разрешает работающим на стороне клиента скриптам
|
||
получать доступ к cookies. Некоторые браузеры, к сожалению, не учитывают
|
||
наличие 'HttpOnly' в своей работе.
|
||
<p>Список браузеров поддерживающих данный параметр можно найти здесь: <a href=http://www.owasp.org/index.php/HTTPOnly#Browsers_Supporting_HTTPOnly>OWASP HTTPOnly Support</a>
|
||
<p><b>Основные цели и задачи:</b></p>
|
||
На данном уроке вы должны проверить, поддерживает ли ваш браузер флаг HTTPOnly применив его к
|
||
cookies с именем <strong>unique2u</strong>.
|
||
Если да, то включив его вы не сможете получить доступ к их содержимому через
|
||
код на клиентской стороне. Вы также не сможете записывать новые данные в них, или изменять
|
||
уже имеющиеся (хотя некоторые браузеры запрещают только считывание).
|
||
Но при этом браузер исправно будет предавать их серверу.
|
||
<br />
|
||
<br />
|
||
Когда вы включите HTTPOnly, находясь на странице, cookies домена которой он защищает,
|
||
впишите в адресную строку выражение "javascript:alert(document.cookie)". Вы увидите табличку со всеми
|
||
cookies кроме unique2u.
|
||
<!-- Stop Instructions --> |