管理服务器与客户端之间状态的Cookie,虽然没有被编入标准化HTTP/1.1的RFC2616中,但在Web网站方面得到了广泛的应用。 Cookie的工作机制是用户识别及状态管理。Web网站为了管理用户的状态会通过Web浏览器,把一些数据临时写入用户的计算机内。接着当用户访问该Web网站时,可通过通信方式取回之前存放的Cookie。 调用Cookie时,由于可校验Cookie的有效期,以及发送方的域、路径、协议等信息,所以正规发布的Cookie内的数据不会因来自其他Web站点和攻击者的攻击而泄露。 Cookie的规格标准文档有以下4种。 目前使用最广泛的Cookie标准却不是RFC中定义的任何一个。而是在网景公司制定的标准上进行扩展后的产物。 Set-Cookie当服务器准备开始管理客户端的状态时,会事先告知各种信息。 下面的表格列举了Set-Cookie的字段值。 Cookie的expires属性指定浏览器可发送Cookie的有效期。 当省略expires属性时,其有效期仅限于维持浏览器会话(Session)时间段内。这通常限于浏览器应用程序被关闭之前。 另外,一旦Cookie从服务器端发送至客户端,服务器端就不存在可以显式删除Cookie的方法。但可通过覆盖已过期的Cookie,实现对客户端Cookie的实质性删除操作。 path属性Cookie的path属性可用于限制指定Cookie的发送范围的文件目录。不过另有办法可避开这项限制,看来对其作为安全机制的效果不能抱有期待。 domain属性通过Cookie的domain属性指定的域名可做到与结尾匹配一致。比如,当指定后,除以外,www.或www2.等都可以发送Cookie。 因此,除了针对具体指定的多个域名发送Cookie之外,不指定domain属性显得更安全。 secure属性Cookie的secure属性用于限制Web页面仅在HTTPS安全连接时,才可以发送Cookie。 发送Cookie时,指定secure属性的方法如下所示。 以上例子仅当在https://www./(HTTPS)安全连接的情况下才会进行Cookie的回收。也就是说,即使域名相同,http://www./(HTTP)也不会发生Cookie回收行为。 当省略secure属性时,不论HTTP还是HTTPS,都会对Cookie进行回收。 HttpOnly属性Cookie的HttpOnly属性是Cookie的扩展功能,它使JavaScript脚本无法获得Cookie。其主要目的为防止跨站脚本攻击(Cross-site scripting,XSS)对Cookie的信息窃取。 发送指定HttpOnly属性的Cookie的方法如下所示。 通过上述设置,通常从Web页面内还可以对Cookie进行读取操作。但使用JavaScript的document.cookie就无法读取附加HttpOnly属性后的Cookie的内容了。因此,也就无法在XSS中利用JavaScript劫持Cookie了。 虽然是独立的扩展功能,但Internet Explorer 6 SP1以上版本等当下的主流浏览器都已经支持该扩展了。另外顺带一提,该扩展并非是为了防止XSS而开发的。 Cookie首部字段Cookie会告知服务器,当客户端想获得HTTP状态管理支持时,就会在请求中包含从服务器接收到的Cookie。接收到多个Cookie时,同样可以以多个Cookie形式发送。 其他首部字段HTTP首部字段是可以自行扩展的。所以在Web服务器和浏览器的应用上,会出现各种非标准的首部字段。 接下来,我们就一些最为常用的首部字段进行说明。 X-Frame-Options首部字段X-Frame-Options属于HTTP响应首部,用于控制网站内容在其他Web网站的Frame标签内的显示问题。其主要目的是为了防止点击劫持(clickjacking)攻击。 首部字段X-Frame-Options有以下两个可指定的字段值。 DENY:拒绝SAMEORIGIN:仅同源域名下的页面(Top-level-browsing-context)匹配时许可。(比如,当指定http:///sample.html页面为SAMEORIGIN时,那么上所有页面的frame都被允许可加载该页面,而等其他域名的页面就不行了) 支持该首部字段的浏览器有:Internet Explorer 8、Firefox3.6.9+、Chrome 4.1.249.1042+、Safari 4+和Opera 10.50+等。现在主流的浏览器都已经支持。 能在所有的Web服务器端预先设定好X-Frame-Options字段值是最理想的状态。 对apache2.conf的配置实例 X-XSS-Protection 首部字段X-XSS-Protection属于HTTP响应首部,它是针对跨站脚本攻击(XSS)的一种对策,用于控制浏览器XSS防护机制的开关。 首部字段X-XSS-Protection可指定的字段值如下。 DNT首部字段DNT属于HTTP请求首部,其中DNT是Do Not Track的简称,意为拒绝个人信息被收集,是表示拒绝被精准广告追踪的一种方法。 首部字段DNT可指定的字段值如下。 由于首部字段DNT的功能具备有效性,所以Web服务器需要对DNT做对应的支持。 P3P首部字段P3P属于HTTP响应首部,通过利用P3P(ThePlatform for Privacy Preferences,在线隐私偏好平台)技术,可以让Web网站上的个人隐私变成一种仅供程序可理解的形式,以达到保护用户隐私的目的。 要进行P3P的设定,需按以下操作步骤进行。 有关P3P的详细规范标准请参看下方链接。 |
|