cookie被獲取怎么辦？1.將Cookie的HttpOnly屬性設(shè)置為true。一般來說，跨站腳本攻擊(XSS)最常見的是在交互式網(wǎng)站(如論壇、微博等)中嵌入javascript腳本。).當(dāng)其他用戶

cookie被獲取怎么辦？

1.將Cookie的HttpOnly屬性設(shè)置為true。

一般來說，跨站腳本攻擊(XSS)最常見的是在交互式網(wǎng)站(如論壇、微博等)中嵌入javascript腳本。).當(dāng)其他用戶訪問嵌入腳本的網(wǎng)頁時，攻擊者可以用戶 的cookie信息。如果網(wǎng)站開發(fā)者將cookie的httponly屬性設(shè)置為true，那么瀏覽器客戶端將不允許網(wǎng)頁中嵌入的javascript腳本讀取用戶 的cookie信息。

2.將cookie的安全屬性設(shè)置為true。

雖然模式1可以防止攻擊者通過javascript腳本cookie，但是沒有辦法防止攻擊者通過fiddler等抓包工具直接攔截請求包獲取cookie信息。這時候設(shè)置安全屬性就很重要了。當(dāng)設(shè)置了securetrue時，那么cookies只能加載到https協(xié)議下的請求包中，而不會發(fā)送到http協(xié)議下的服務(wù)器。https比http更安全，因此可以防止cookies被添加到http協(xié)議請求數(shù)據(jù)包中，并暴露給數(shù)據(jù)包抓取工具。

3.將cookie的samesite屬性設(shè)置為strict或lax。

如上所述，攻擊者獲得cookie后，還會發(fā)起跨站請求偽造(CSRF)攻擊。這種攻擊通常在第三方網(wǎng)站發(fā)起的請求中攜帶受害者cookie信息，將samesite設(shè)置為嚴(yán)格或?qū)捤珊?，可以限制第三方cookie，從而防止CSRF攻擊。當(dāng)然，也有一種常見的方法來檢查令牌和referer請求頭，以防止CSRF攻擊，感興趣的讀者也可以自己閱讀材料來了解一下。

4.設(shè)置cookie的過期屬性值。

通常情況下，cookies的有效期會被設(shè)置為永久有效或長期為正值。這樣的cookie會被存儲在本地，攻擊者在獲取cookie信息后可以長時間控制用戶賬號。如果過期值設(shè)置為-1，cookie將只存儲在客戶端內(nèi)存中，當(dāng)瀏覽器客戶端關(guān)閉時，cooki

IE瀏覽網(wǎng)站常常會跳出腳本debug，如何永久關(guān)閉這個提示？

選擇互聯(lián)網(wǎng)選項-高級- "禁用腳本調(diào)試和 "顯示每個腳本錯誤的通知，第一個勾選，最后一個不勾選。