xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。
如下js获取cookie信息:
一般cookie都是从document对象中获取的,现在浏览器在设置cookie的时候一般都接受一个叫做httponly的参数,跟domain等其他参数一样,一旦这个httponly被设置,你在浏览器的document对象中就看不到cookie了。
php设置httponly:
对于php5.1以前版本的php通过:
最后,httponly不是万能的!
如对本文有疑问, 点击进行留言回复!!
[ACTF2020 新生赛]Include 1【文件包含】【读取代码】
算法题解 - 牛客编程巅峰赛S1第6场 - 黄金&钻石&王者组
推荐一个程序员必备网站之一:Dev Hints ,非常实用!
网友评论