cookie的httponly属性
2012-02-02 16:06
633 查看
httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。
大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cookie被人获得,那就会有暴露个人信息的危险!当然,想想,其他人怎么可以获得客户的cookie?那必然是有不怀好意的人的程序在浏览器里运行!如果是现在满天飞的流氓软件,那没有办法,httponly也不是用来解决这种情况的,它是用来解决浏览器里javascript访问cookie的问题。试想,一个flash程序在你的浏览器里运行,就可以获得你的cookie的!
IE6的SP1里就带了对httponly的支持,所以相对还说还是些安全性。
不同版本的php对cookie中加此属性所用的方式是不同的,具体如下
if (PHP_VERSION>='5.2.0') {
return setcookie($ck_Var,$ck_Value,$ck_Time,$db_ckpath,$db_ckdomain,$ck_Secure,$ck_Httponly);
} else {
return setcookie($ck_Var,$ck_Value,$ck_Time,$db_ckpath.($ck_Httponly ? '; HttpOnly' : ''),$db_ckdomain,$ck_Secure);
}
大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cookie被人获得,那就会有暴露个人信息的危险!当然,想想,其他人怎么可以获得客户的cookie?那必然是有不怀好意的人的程序在浏览器里运行!如果是现在满天飞的流氓软件,那没有办法,httponly也不是用来解决这种情况的,它是用来解决浏览器里javascript访问cookie的问题。试想,一个flash程序在你的浏览器里运行,就可以获得你的cookie的!
IE6的SP1里就带了对httponly的支持,所以相对还说还是些安全性。
不同版本的php对cookie中加此属性所用的方式是不同的,具体如下
if (PHP_VERSION>='5.2.0') {
return setcookie($ck_Var,$ck_Value,$ck_Time,$db_ckpath,$db_ckdomain,$ck_Secure,$ck_Httponly);
} else {
return setcookie($ck_Var,$ck_Value,$ck_Time,$db_ckpath.($ck_Httponly ? '; HttpOnly' : ''),$db_ckdomain,$ck_Secure);
}
相关文章推荐
- HttpCookie.HttpOnly 属性
- 关于Cookie 的HttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
- cookie设置httponly属性防护XSS攻击
- 网站安全测试,会话 cookie 中缺少 HttpOnly 属性
- 关于Cookie 的HttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
- Cookie设置HttpOnly,Secure,Expire属性
- Http中Cookie的HttpOnly和secure属性
- PHP设置Cookie的HTTPONLY属性
- Cookie设置HttpOnly,Secure,Expire属性
- cookie 设置 httpOnly属性
- PHP设置Cookie的HTTPONLY属性方法
- cookie工具类,解决servlet3.0以前不能添加httpOnly属性的问题
- 会话cookie中缺少HttpOnly属性 解决
- cookie的secure、httponly属性设置
- [置顶] 检验-会话cookie中缺少HttpOnly属性
- Cookie设置HttpOnly,Secure,Expire属性
- 增加 cookie 安全性添加HttpOnly和secure属性
- 关于Cookie 的HttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
- COOKIE的HttpOnly属性
- Tomcat为Cookie设置HttpOnly属性