防护功能

HTTPOnly

　如果HTTP响应头中包含HttpOnly标志，只要浏览器支持HttpOnly标志，客户端脚本就无法访问cookie。因此，即使存在跨站点脚本（XSS）缺陷，且用户意外访问利用此漏洞的链接，浏览器也不会向第三方透露cookie。也就是Cookie只对浏览器可见，脚本无法获取Cookie，从而可以更好地保护Cookie不被盗用。

Cookie加密:对Cookie值进行加密,防止Cookie中的敏感信息泄露。 一般都是 aes  rc4对称算法
Cookie签名:对Cookie添加签名标记,防止Cookie值被篡改。 一般都是在cookie后面添加一个字段比如：hashval=sha1（xxx）

Cookie兼容时间：

在启用Cookie安全策略前，Web客户端可能已经存留了未经加密或签名的Cookie，为了保证启用策略前后的Cookie兼容性，安全设备提供“Cookie兼容时间”选项，在定义的这个时间之前，WAF执行以下动作：
1）对服务器端新下发的Cookie执行策略所定义的加密或签名动作；
2）对从客户端所接收到的Cookie，尝试进行解密或签名校验。若是加密、签名正确的Cookie，则解密或去除签名后再提交给服务器；否则保持原样不变。

 

使用HttpOnly减轻最常见的XSS攻击

根据微软Secure Windows Initiative小组的高级安全项目经理Michael Howard的说法，大多数XSS攻击的目的都是盗窃cookie。服务端可以通过在它创建的cookie上设置HttpOnly标志来缓解这个问题，指出不应在客户端上访问cookie。

客户端脚本代码尝试读取包含HttpOnly标志的cookie，如果浏览器支持HttpOnly，则返回一个空字符串作为结果。这样能够阻止恶意代码（通常是XSS攻击）将cookie数据发到攻击者网站。

  HttpOnly是包含在Set-Cookie HTTP响应头文件中的附加标志。生成cookie时使用HttpOnly标志有助于降低客户端脚本访问受保护cookie的风险（如果浏览器支持）。

响应字段

Cache-Control:
no-cache, no-store, max-age=0, must-revalidate
Content-Length:
279
Content-Type:
text/html; charset=utf-8
Date:
Sat, 23 Mar 2024 13:07:10 GMT
Location:
/ui/login.html?osType=windows&requestId=saml_idp_5e89c74b-ce85-4017-b802-5f34c09fa8b9&idp_type=4&appid=dinghlebinyrgy8tmrva&corp_code=&redirect_uri=https%3A%2F%2Fidp.pre.eagleyun.cn%2FdingtalkLogin&authentication_error=

Set-Cookie:
idpPublicKey=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; Path=/
Set-Cookie:
JSESSIONID=saml_idp_5e89c74b-ce85-4017-b802-5f34c09fa8b9_captcha;path=/;Secure;HttpOnly