Güvenlik: XSS (Cross-site Scripting) Saldırıları ve Çözümleri

[gdemir]

XSS (Cross Site Scripting – Çapraz Kod Çalıştırma) kısaca, HTML ve JavaScript yardımıyla bir sitede, siteye giren kullanıcıya tehlike arz edecek şekilde kod çalıştırmaya denir. Ziyaretçilerinizden bilgi almak amaçlı ya da onlara ait hesapları tekrar tekrar şifre girmeden kullanmaları için yollamış olduğunuz çerezleri -cookies- XSS yardımıyla çalabilirler ve kendilerini, sisteme o ziyaretçiymiş gibi gösterebilirler.

Kaynaklar:

• kaynak1

• kaynak2

• kaynak3

• kaynak4

• kaynak5

• kaynak6

• kaynak7

[gdemir]

Cookie Saldırı Çözümleri

path alanına ek olarak bir de httponly alanının bulunduğunda sunucu bu flagı kullanarak tarayıcıya ilgili cookieye JavaScript tarafından erişimini engeller.

Bu flag ile cookienin XSS yoluyla çalınmasının önüne geçilir. XSS (Cross-site Scripting) ile web uygulamasındaki bazı zafiyetler nedeniyle kötü amaçlı kişiler tarayıcı üzerinde kendi JS kodlarını çalıştırabilirler. httponly ile JS'in ilgili cookie'yi okuması engellenir ve Session Cookie, XSS atağından korunmuş olur.

Aşağıdaki komut yeterlidir, ancak session_start()dan önce kullanılmalıdır.

ini_set('session.cookie_httponly', 1);

Çözüm : ini_set('session.cookie_httponly', 1); ayar kodu eklendi opsiyon haline getirilemedi çünkü sadece session_start() dan önce kabul ediyor dolayısıyla varsayılan bir değer girildiğinde kaydedilmiyor sonra session başladıysa ayarla ya da ayarlama şeklinde ayarlanabilir.

[gdemir]

header( "Set-Cookie: name=value; httpOnly" );

Header olarak da eklenebilir

[gdemir]

https://www.php.net/manual/tr/session.configuration.php#ini.session.cookie-httponly
Session ayarları için ayrı bir dosya yapılmalıdır mı ? laravel gibi : laravel/framework#1462