XSS攻击
Http-only的设计主要是用来防御XSS攻击
跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性。
在存在xss的地方键入,可以获取到cookie
添加httponly机制进行防御,找到程序文件,在setcookie的第七个参数添加true
添加http-only之后再进行测试
添加http-only参数之后,无法再通过js脚本获取用户cookie