Cookie(HTTP cookie)是指网站用来在用户计算机上存储状态信息的一种机制,可帮助服务器在多个 HTTP 请求中识别客户端。 HTTP 是一种无状态协议,本质上独立对待每个请求,对相同的请求返回相同的响应。 HTTP 的早期实现并非设计用于提供有状态的交互。 然而,随着 Web应用的发展(特别是像网上银行这样需要在用户登录前后做出不同响应的应用),需要有效地管理状态信息。 HTTP cookies 是为了解决这一挑战而开发的。
Cookie 是网络服务器在用户设备本地存储的小型数据记录。 通常,cookie 数据可以包括用户识别信息、以前访问的时间戳或访问频率指标。 当用户使用之前存储的 cookie 再次访问网站时,该网站可以识别用户并做出相应响应,从而促进定制化和有状态的交互。
网页中嵌入的脚本也可以访问 cookie,但这种访问严格限于与原始脚本属于同一域的 cookie——这种安全措施称为“同源策略”。 然而,跨站点脚本 (XSS) 等漏洞可以让攻击者绕过这些限制并非法检索 cookie 信息。
为了减轻与 XSS 和其他基于 Web 的威胁相关的风险,部署 Web应用防火墙 (WAF) 提供了有效的防御层,有助于检测和阻止利用 Web应用中的漏洞的恶意企图。
F5 通过其F5 BIG-IP解决方案提供强大的 WAF 功能,可防止 XSS 等攻击并保护 cookie 内容免遭未授权访问。