关联标签
18得票4回答
JavaScript(以及开发工具)无法访问Cookie,但是它们会随XHR请求一起发送(不使用HttpOnly)。
我在不同的域名上使用前端和后端应用程序,采用基于会话的授权。我已经设置了工作正常的CORS配置,该配置在localhost(例如从端口:9000到端口:8080)上按预期工作。一旦我将应用程序部署在安全域上(两个域仅允许HTTPS),CSRF cookie就无法在JavaScript中访问,导...
12得票2回答
我应该为哪些Content-Types设置与安全相关的HTTP响应头?
我用我最喜欢的语言Fantom构建了一个Web应用程序,并正在通过提供行业标准的HTTP响应头来防止XSS和其他攻击。 我的问题是,哪些响应应该设置头? 我可以为每个响应设置头,但考虑到大多数请求都是针对图像、字体、样式表等,这似乎非常浪费。特别是Content-Security-Policy...