HttpOnly cookie是否可以被恶意JS在浏览器中访问

问题描述 投票:0回答:1

在后端换前端 (BFF) 描述此处。本节的最后一句话引起了我的关注,它说:

由于恶意 JavaScript 代码仍然在 应用程序的起源,攻击者能够向 BFF 发送请求 从用户的浏览器中(通过用户的代理请求 浏览器(第 5.1.4 节))

然后,我检查了那里提到的“第5.1.4节”。

我希望我理解正确,但这是否意味着,即使访问令牌是由BFF而不是浏览器端处理的,但会话cookie也会发送到浏览器中的前端,即使我们用

HttpOnly
标记cookie,浏览器中是否仍然存在恶意 Javascript 能够访问它并使用 cookie 访问 BFF,然后使用关联的访问令牌访问其他资源服务? 如果是这样,是否会失去 BFF 的好处,因为安全 cookie 可以被拦截并且令牌仍然被滥用?

javascript cookies oauth-2.0 session-cookies backend-for-frontend
1个回答
0
投票

是 - HttpOnly cookie 可能会被 XSS 攻击中的恶意 JavaScript 滥用。 Thia 在网站上也一直如此:

  • 攻击者可以使用您的 cookie 凭证窃取您的数据 - 有时称为会话操纵。

请注意,这与 CSRF 不同,CSRF 相对容易防御。

浏览器是一个不完善的环境。你能做的最好的事情是:

  • 使用 HttpOnly cookie 传输访问令牌
  • 使用 SameSite=strict 和 CORS 拒绝对恶意站点或来源的 cookie 访问
  • 设置强大的 CSP 以帮助防止数据被泄露
  • 首先采取标准措施防止 XSS

然后,您可以按照 Philippe De Ryck 在您提供的链接中所解释的方式限制漏洞利用的影响。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.