cookie被獲取怎么辦？1.設(shè)置Cookie的HttpOnly屬性為true。一般來說，跨站腳本攻擊（XSS）最常見的攻擊是通過在多屏幕網(wǎng)站（.例如論壇、微博等）中合成一體javascript腳本，

cookie被獲取怎么辦？

1.設(shè)置Cookie的HttpOnly屬性為true。

一般來說，跨站腳本攻擊（XSS）最常見的攻擊是通過在多屏幕網(wǎng)站（.例如論壇、微博等）中合成一體javascript腳本，當(dāng)其他用戶訪問網(wǎng)絡(luò)嵌有腳本的網(wǎng)頁時，攻擊者就能通過到用戶cookie信息。假如網(wǎng)站開發(fā)者將cookie的httponly屬性設(shè)置為true，這樣的話瀏覽器客戶端就不不能嵌在網(wǎng)頁中的javascript腳本去無法讀取用戶的cookie信息。

2.設(shè)置cookie的secure屬性為true。

只不過能避兔攻擊者是從javascript腳本的cookie，不過沒辦法避兔攻擊者是從fiddler等抓包工具然后視頻截取跪請數(shù)據(jù)包的獲取cookie信息，這時候系統(tǒng)設(shè)置secure屬性就略顯很最重要，當(dāng)設(shè)置里了securetrue時，那你cookie就只能在https協(xié)議下裝載到請求數(shù)據(jù)包中，在http協(xié)議下就不會正在發(fā)送給服務(wù)器端，https比http更加安全，這樣就這個可以以免cookie被加入到到http協(xié)議各位包不暴漏給抓包工具啦。

3.可以設(shè)置cookie的samesite屬性為strict或lax。

前文提起攻擊者獲取到cookie后，還會發(fā)起跨站各位變造（CSRF）攻擊，這種攻擊常見是在第三方網(wǎng)站發(fā)起的請求中附帶受害者cookie信息，而設(shè)置里了samesite為strict或lax后就能限制修改第三方cookie，從而是可以防御力CSRF攻擊。肯定，當(dāng)前常用的另外校驗token和referer跪請頭的來避兔CSRF攻擊，感興趣的讀者也也可以自己研讀材料了解下。

4.設(shè)置中cookie的expires屬性值。

大多，cookie的有效期會被可以設(shè)置為無限制快速有效或一個較長時間的正數(shù)值，這樣的cookie會被需要保存在本地，攻擊者某些cookie信息后可以在相當(dāng)長的一段時間里控制用戶賬號，而如果給cookie設(shè)置中expires值為-1，這樣的話該cookie就僅僅能保存在客戶端內(nèi)存中，當(dāng)瀏覽器客戶端被直接關(guān)閉時，cookie就會失效了。

app服務(wù)器證書異常？

方法

假如你也有帶有的情況，而且網(wǎng)上的解決的辦法都不能可以解決，那請參看萬分感謝方法試試看。

1、再打開fiddler的設(shè)置-r26HTTPS

2、將的Protocols設(shè)置中為：

ssl3tls1.1tls1.2

3、保存到然后再恢復(fù)進入HTTPS設(shè)置

4、直接點擊Actions-dstrokReset All Certificates進行重置證書，這一路確認(rèn)。

5、不重置完后，然后打開注冊表編輯器(CMD-dstrokregedit)

6、找到HKEY_CURRENT_USERSOFTWAREMicrosoftFiddler2

7、在Fiddler2文件夾下剛建項(Key)，名稱為ReverseProxyForPort，并設(shè)置值為8888(要與Fiddler內(nèi)的端口號相同)，重起Fiddler再開啟HTTPS抓包

8、在iOS上刪除所有殘留證書，并新的安裝好新的Fiddler證書。

9、請移通用-rlm麻煩問下手機最下方的證書信任設(shè)置，信任剛按裝的證書。