在php中设置sessionid的httponly属性

最新推荐文章于 2023-06-25 23:40:54 发布
最新推荐文章于 2023-06-25 23:40:54 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gtacer/article/details/78198198
版权

方法1:将setcookie()函数的第七个参数设置为true

    $sess_name = session_name();//必须在session_start之前调用session_name
    if (session_start()) {
        setcookie($sess_name, session_id(), null, '/', null, null, true);
    }

方法2:使用header()函数

header( "Set-Cookie: name=value; httpOnly" );


参考资料:

session的安全性

How do you set up use HttpOnly cookies in PHP



Gtaker
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP设置Cookie的HTTPONLY属性方法
10-20
本文将详细讲解如何在PHP设置Cookie的HTTPOnly属性HTTPOnly属性是由微软在IE6 SP1首先引入的,目的是限制JavaScript对Cookie的访问。当一个Cookie被设置HTTPOnly时,JavaScript的Document.cookie API和...
PHP笔记之COOKIE
→_→
09-17 193
目录 COOKIE概述 1、什么是COOKIE? 2、IE浏览器查看COOKIE数据 3、使用COOKIE的好处 4、COOKIE的工作原理-(第一次请求是不携带cookie数据的) COOKIE操作 1、添加COOKIE数据 2、读取COOKIE数据 COOKIE设置 1、COOKIE过期有效性设置 (1)即时性COOKIE设置 (2)有效性COOKIE设置 2、COOKIE路径有效性 3、COOKIE域名有效性 4、是否仅https安全连接才能发送cookie呢? 5、是
httpOnly对于抵御Session劫持的个人小结
Lucky小小吴的小屋
11-18 740
cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,主要防护的攻击手段:XSS不能通过document对象直接获取cookie。
HTTP Only限制XSS盗取cookie
永远是少年
11-22 1758
今天继续给大家介绍渗透测试相关知识,本文主要内容HTTP Only限制XSS盗取cookie。 一、HTTP Only原理 二、HTTP Only设置 三、HTTP Only效果展示
Session新增secure和httpOnly策略
s13166803785的博客
06-11 1446
1、添加HttpOnly和secure属性(用过滤器实现) 根据之前的说明,GlassFish2不支持Session Cookie的HttpOnly属性,以及secure属性也需要自己进行设置,所以最后的处理方法是:在工程各添加一个Filter,对请求的入口页面(或者是请求后跳转到的第一个客户可见的页面,一般是登陆页面),重新设置客户端的session属性。 (response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + ";Path=
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
最新发布
sunsineq的专栏
06-25 2979
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。cookie的Secure指的是安全性。在WEB应用,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。
session配置secure和httpOnly
03-16
Filter会在请求处理之前介入,可以重新设置Session Cookie,确保其包含`secure`和`HttpOnly`属性。需要注意,设置这些属性可能会影响到其他非Session Cookie的正常工作,需要谨慎处理。 2. 当设置`HttpOnly`后,...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
在django,关于session的通用设置方法
09-18
1. `SESSION_COOKIE_NAME`:定义Session cookie在浏览器的键名,默认为"sessionid"。 2. `SESSION_COOKIE_PATH`:设置cookie的作用路径,默认为"/",意味着整个网站范围。 3. `SESSION_COOKIE_DOMAIN`:如果不设置...
php7 setcookie无效_PHP设置Cookie的HTTPONLY属性方法
weixin_33091939的博客
01-14 616
httponly是微软对cookie做的扩展,这个主要是解决用户的cookie可能被盗用的问题。大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cookie被人获得,那...
Session Cookie的HttpOnly和secure属性
10-29
一、属性说明: 1 secure属性设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
phpsession.cookie_httponly的作用
spz1025的博客
07-31 5104
今天偶然看到一个设置ini_set(“session.cookie_httponly”,1) 去搜了下作用,我理解过来就是说为了避免浏览器其他的例如JavaScript,flash等脚本轻而易举的获取 或修改到服务端存储在cookie的信息,这样可以防止XSS攻击。 ps: httponly是微软对cookie做的扩展。 Session数据保存在服务器端, 但是每一个客户端都需要保存一个Ses...
介绍cookie、session、websocket、httponly
luluoluoa的博客
05-13 1044
cookie 最近一定写,正在学----------- http是无状态的,关于无状态,可以看这一文http无状态无连接,也就说说http连接,用户端请求一次,服务器响应一次,然后就断开连接,不会记录双方的状态。那么我们登陆一个网站时,每次发起请求,都要输入用户名和密码,很麻烦,因此就出现了cookie。 cookie是能够让网站服务器把少量文本数据存储到客户端的硬盘、内存,或者从客户端硬盘、内存读取数据的一种技术。 cookie可以随着http请求一起传递,用来标识用户,维持会话,不用每次都输入
JAVA年度安全 第四周 SESSION COOKIE HTTPONLY 标识
cronus_1986的专栏
12-29 195
http://www.jtmelton.com/2012/01/25/year-of-security-for-java-week-4-session-cookie-httponly-flag/ What is it and why do I care? Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookie...
关于HTTP的Cookie和Session的使用
Wang的专栏
02-16 1592
关于cookie cookie是服务端返回数据的时候通过Set-Cookie的Header设置到浏览器上的内容 浏览器在保存了cookie之后,在下一次同源(协议,域名,端口三者一致)请求的时候,自动带上 结合服务端的session以此实现用户访问和权限验证 cookie是键值对,可以设置多个值 cookie的属性 max-age和expires来控制设置过期的时间 Secure只在https的时候才会携带和发送 设置HttpOnly就无法通过document.cookie来访问了 只能由服务端来读取
Session攻击
壮乡码农
12-08 1342
一、Session劫持 原理: 用户登入后网站保存了用户的session id,黑客通过暴力破解、预测或者使用网络探嗅拿到session id,以此获得合法的会话。 防御:1、添加HTTP Only,防止从cookie读取session id 2、 HTTP Secure 二、会话固定 原理:会话固定是会话劫持的一种,会话固定是诱骗用户使用指定的会话标识 防御:1、每当用户登入时对session id进行重置 ...
如何在Cookie设置HttpOnly属性为true
05-25
在创建Cookie时,将HttpOnly属性设置为true即可。例如,在Java Servlet,可以使用以下代码: ```java Cookie cookie = new Cookie("name", "value"); cookie.setHttpOnly(true); response.addCookie(cookie); ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值