0
我正在開發一個客戶端代理來對付跨站點腳本攻擊。所有來自瀏覽器的請求都將通過代理。我能夠使用Referer頭和其他東西將請求分類爲本地或跨域。但是,我需要減少誤報的數量。跨站點腳本 - Cookie加密
爲此,我將在響應中跟蹤從網絡服務器發送的cookie,並且會在任何跨域請求中查找此cookie的部分內容,即,我將僅檢查跨站點請求攜帶敏感信息(cookie)。
但是,如果攻擊者構造一個HTTP響應,而Cookie被加密和泄露,這個簡單的想法就會失敗。
例如,
餅乾:
user=rahim;pass=asdf
黑客構造一個請求
www.evil.com?name=mihar&pass=fdsa
攻擊者已經簡單地逆轉該Cookie參數。攻擊者可以通過無數種方式使用cookie來欺騙進程。
我需要一個算法來檢查這一點。 Cookie參數不應以任何形式通過。