NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案

已于 2023-08-25 18:13:53 修改
阅读量5.1k 收藏 31
点赞数 22
文章标签: php nginx
于 2021-09-25 00:10:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/backerli/article/details/120465246
版权
本文介绍了为何需要在会话cookie中添加HTTPOnly和Secure属性,以防止非HTTPS页面窃取用户信息。提供了解决方案,包括通过PHP的配置文件或代码设置,以及在NginX中添加配置来确保cookie的安全性。同时,提到了Cookie的SameSite属性在防止CSRF攻击和用户追踪中的作用。
摘要由CSDN通过智能技术生成

1 / 说明
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。
会话cookie中缺少Secure属性会导致攻击者可以通过非HTTPS页面窃取到用户的cookie信息,造成用户cookie信息的泄露。
cookie中的Secure指的是安全性。通过设定cookie中的Secure,可以指定cookie是否只能通过https协议访问。一般的cookie使用HTTP协议既可访问,如果启用Secure属性,则浏览器仅仅会在HTTPS请求中向服务端发送cookie内容。
在WEB应用中,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。

2 / PHP解决方案
PHP 5.6以后的版本:
① 简单粗暴直接修改php.ini文件
session.cookie_httponly=true
session.cookie_secure =
② 在php代码中使用ini_set函数设置
ini_set(“session.cookie_httponly”, 1);
(单一入口框架加载index.php 入口文件即可)

③在

最低0.47元/天 解锁文章
Baຼcker
关注
  • 22
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Session CookieHttpOnlysecure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session CookieHttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
关于nginx HTTP安全响应问题
最新发布
dzqxwzoe的博客
08-06 841
一、背景二、http基本安全配置2.1 host头攻击漏洞2.2 http method 请求方式攻击漏洞2.3 点劫持漏洞(X-Frame-Options)2.4 X-Download-Options响应头缺失2.5 Content-Security-Policy响应头缺失2.6 Strict-Transport-Security响应头缺失2.7 X-Permitted-Cross-Domain-Policies响应头缺失2.8 Referrer-Policy响应头缺失。
会话Cookie未设置Secure属性漏洞
my的博客
01-15 3111
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2094
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
WEB安全漏洞之Cookie缺少相关安全属性HttpOnlySecure)
Agonie_25的博客
05-17 1万+
漏洞说明 在用webinspect工具对web项目进行扫描,会报一下两种错误:1.Cookie缺少HttpOnly属性;2.Cookie缺少Secure属性HttpOnly属性 浏览器通过document对象获取CookieHttpOnly作为保护Cookie安全的一个属性,一旦被设置,document对象便看不到Cookie了,同时,浏览器在访问网页时不受任何影响,因为Cookie...
cookie设置httpOnlysecure属性实现及问题
01-03
### Cookie设置httpOnlysecure属性实现及问题 #### 一、引言 在现代Web开发,保护用户的隐私和数据安全至关重要。其一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
利用nginx解决cookie跨域访问的方法
01-20
最近需要把阿里云上的四台服务器的项目迁移到客户提供的新的项目,原来的四台服务器用到了一级域名和二级域名。比如aaa.abc.com 和bbb.abc.com 和ccc.abc.com。其aaa.abc.com登录,通过把cookie的信息...
总结Nginx 的使用过程遇到的问题解决方案
01-10
在启动 Nginx 的时候,有时候会遇到这样的一个错误: ... 解决办法就是在配置文件新增以下配置项: 代码如下: proxy_headers_hash_max_size 51200; proxy_headers_hash_bucket_size 6400;  这两个配置项的 size
nginx && php-fpm 启动脚本
10-11
Windows 下使用 RunHiddenConsole 启动 nginxphp-fpm, https://www.nginx.com/resources/wiki/start/topics/examples/phpfastcgionwindows/
nginx && php-fpm 停止脚本
10-11
Windows 下使用 RunHiddenConsole 启动 nginxphp-fpm, https://www.nginx.com/resources/wiki/start/topics/examples/phpfastcgionwindows/
AppScan扫描漏洞(等):加密会话(SSL)Cookie 缺少Secure属性
weixin_42249908的博客
05-31 2351
AppScan扫描漏洞(等):加密会话(SSL)Cookie 缺少Secure属性
phpsession.cookie_httponly的作用
spz1025的博客
07-31 5201
今天偶然看到一个设置ini_set(“session.cookie_httponly”,1) 去搜了下作用,我理解过来就是说为了避免浏览器其他的例如JavaScript,flash等脚本轻而易举的获取 或修改到服务端存储在cookie的信息,这样可以防止XSS攻击。 ps: httponly是微软对cookie做的扩展。 Session数据保存在服务器端, 但是每一个客户端都需要保存一个Ses...
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
enjoy.day
02-09 3285
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
Cookie相关安全性配置 (Nginx篇) 添加 HttpOnly Secure SameSite参数
热门推荐
ilqgffvramusm2864的博客
05-22 1万+
目录前言Cookie安全相关属性配置路径示例 前言 Cookie安全相关属性 保证全站HTTPS时cookie的安全性的Nginx配置方法 配置Nginx需要在 proxy 模式下的设置 Cookie安全相关属性 HttpOnly : 在Cookie设置了"HttpOnly"属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。 将HttpOnly 设置为true 防止程序获取cookie后进行攻击 Secure : 安全性,指定Cookie是否只能通过https协议访问
Appscan漏洞之加密会话(SSL)Cookie缺少Secure属性
学者-微风
05-14 6106
近期 Appscan扫描出漏洞 加密会话(SSL)Cookie 缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理 任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议 给cookie添加secure属性 1.3、修复代码示例 1)服务器配置为HTTPS SSL方式 2)Servlet 3.0 (Java EE 6)的
nginx修复漏洞
Elaina_fang✨✨✨的博客
10-26 4663
【代码】nginx修复漏洞。
加密会话(SSL)Cookie缺少Secure属性解决方案
qq_36956015的博客
01-03 1万+
系统进行漏洞扫描时,出现“加密会话(SSL)Cookie缺少Secure属性问题,如下图: 解决办法: 1)先配置请求到服务的协议(nginx到服务)schema为https; 2)添加filter设置,如下: @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain ch...
nginx 加密会话(ssl)cookie 缺少 secure 属性
07-16
nginx,加密会话(ssl)cookie缺少secure属性secure属性是一个标记,用于确保cookie只能在通过HTTPS安全连接时传输。 缺少secure属性可能会导致安全风险。当缺少secure属性时,如果HTTP请求使用非加密的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Baຼcker

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值