CSRF的防御之HttpOnly

CSRF攻击的全称是跨站请求伪造(cross site request forgery)，是一种对网站的恶意利用，尽管听起来跟XSS跨站脚本攻击有点相似，但事实上CSRF与XSS差别很大，XSS利用的是站点内的信任用户，而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。你可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义向第三方网站发送恶意请求。CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等等，甚至盗取你的账号。

 

　　C#代码实现,本想自己写一个,但是发现万能的MSDN上避免有个现成的果断拿来之,MSDN上的啰嗦：

　　

该属性有助于缓解跨站点脚本威胁，这种威胁可能导致 COOKIE 被窃取。 窃取的 COOKIE 可以包含标识站点用户的敏感信息，如 ASP.NET 会话 ID 或 Forms 身份验证票证，攻击者可以重播窃取的 COOKIE，以便伪装成用户或获取敏感信息。 如果兼容浏览器接收到 HttpOnly COOKIE，则客户端脚本不能对它进行访问。
警告说明
将 HttpOnly 属性设置为 true，并不能防止对网络频道具有访问权限的攻击者直接访问该 COOKIE。 针对这种情况，应考虑使用安全套接字层 (SSL) 来提供帮助。 工作站的安全也很重要，原因是恶意用户可能使用打开的浏览器窗口或包含持久性 COOKIE 的计算机，以合法用户的标识获取对网站的访问。

<%@ Page Language="C#" %>


"-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">



"http://www.w3.org/1999/xhtml" >
"server">
    




 

 相关资料:http://msdn.microsoft.com/zh-cn/library/ms533046(vs.85).aspx

　　http://msdn.microsoft.com/zh-cn/library/ms533046(vs.85).aspx

　　http://kb.cnblogs.com/page/115136/

　　图片来自陈康贤<<大型分布式网站架构设计与实践>>