php中session.cookie_httponly的作用

最新推荐文章于 2023-04-21 12:47:12 发布
最新推荐文章于 2023-04-21 12:47:12 发布
阅读量5.1k 收藏 7
点赞数 1
分类专栏: PHP 文章标签: php session cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spz1025/article/details/97894796
版权

今天偶然看到一个设置ini_set(“session.cookie_httponly”,1) 去搜了下作用,我理解过来就是说为了避免浏览器其他的例如JavaScript,flash等脚本轻而易举的获取 修改到服务端存储在cookie中的信息,这样可以防止XSS攻击。

ps: httponly是微软对cookie做的扩展。
Session数据保存在服务器端, 但是每一个客户端都需要保存一个SessionID, SessionID保存在Cookies中, 关闭浏览器时过期.
在向服务器发送的HTTP请求中会包含SessionID, 服务器端根据SessionID获取获取此用户的Session信息.

PHP中的设置

PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中
session.cookie_httponly = true
设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启:
<?php ini_set("session.cookie_httponly", 1); 
// or session_set_cookie_params(0, NULL, NULL, NULL, TRUE); 
?>
Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); 
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
对于PHP5.1以前版本以及PHP4版本的话,则需要通过header函数来变通下了:
<?php header("Set-Cookie: hidden=value; httpOnly"); ?>
七神烨
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
backerli的博客
09-25 5079
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
cookie安全之HTTP -only
最新发布
Whatsoever1的博客
04-14 568
的setHttpOnly方法用于设置cookie是否可以被认为是HTTPOnly。如果cookie设置了only属性,则JavaScript脚本将无法读取cookie信息,防止XSS攻击。在php.ini设置 session.cookie_httponly = 其值为1或者TRUE,来开启全局的CookieHttpOnly属性。
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2029
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
Session CookieHttpOnly和secure属性
m0_37477061的博客
03-07 1958
https://www.cnblogs.com/crazylqy/p/4143433.html
php7 setcookie无效_PHP设置CookieHTTPONLY属性方法
weixin_33091939的博客
01-14 617
httponly是微软对cookie做的扩展,这个主要是解决用户的cookie可能被盗用的问题。大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cookie被人获得,那...
PHP设置CookieHTTPONLY属性方法
10-20
在`php.ini`配置文件,你可以通过设置`session.cookie_httponly`参数来开启全局的HTTPOnly属性。将其值设置为1或TRUE,如下所示: ``` session.cookie_httponly = 1 ``` 2. **代码设置**: 如果你希望在...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
php sessioncookie使用说明
12-18
PHPSessionCookie是两种常用的身份验证和用户状态管理机制,它们各有特点,适用于不同的场景。 1. PHPCookie Cookie是一种在用户浏览器端存储数据的技术,用于跟踪和识别用户。当PHP应用需要设置Cookie时...
phpcookie作用
12-17
PHP编程Cookie是一种非常重要的技术,用于在客户端存储数据。Cookie作用域是指定义了Cookie可以在哪些页面或路径下被访问。理解Cookie作用域对于优化网站功能和提高用户体验至关重要。 `setcookie()` 是...
HttpOnly Cookie 怎么讲
larance的挨踢生活
11-30 685
HttpOnly是加在cookies上的一个标识,用于告诉浏览器不要向客户端脚本(document.cookie或其他)暴露cookieHttpOnly背后的相关议题是:当网站存在跨站脚本攻击(XSS)漏洞时,黑客通过执行脚本获得cookie时被阻止,从而在根本上杜绝这种类型的攻击。 当你在cookie上设置HttpOnly标识后,浏览器就会知会到这是特殊的cookie,只能由服务器检索到,所有来自客户端脚本的访问都会被禁止。当然也有前提:使用新版的浏览器。HttpOnly Cookie 最初由 Micr
介绍cookiesession、websocket、httponly
luluoluoa的博客
05-13 1047
cookie 最近一定写,正在学----------- http是无状态的,关于无状态,可以看这一文http无状态无连接,也就说说http连接,用户端请求一次,服务器响应一次,然后就断开连接,不会记录双方的状态。那么我们登陆一个网站时,每次发起请求,都要输入用户名和密码,很麻烦,因此就出现了cookiecookie是能够让网站服务器把少量文本数据存储到客户端的硬盘、内存,或者从客户端硬盘、内存读取数据的一种技术。 cookie可以随着http请求一起传递,用来标识用户,维持会话,不用每次都输入
php设置sessionid的httponly属性
Somethings
10-10 2891
方法1:将setcookie()函数的第七个参数设置为true $sess_name = session_name();//必须在session_start之前调用session_name if (session_start()) { setcookie($sess_name, session_id(), null, '/', null, null, true);
php设置cookieHttpOnly防止XSS攻击
weixin_30375247的博客
03-22 155
什么时XSS攻击? XSS攻击(Cross Site Scripting)文名为跨站脚本攻击,XSS攻击时web一种常见的漏洞。通过XSS漏洞可以伪造目标用户登录,从而获取登录后的账号操作。 网站账号登录过程的简单步骤 web网页在用户登录的时候,通过表单把用户输入的账号密码进行后台数据库的验证,验证通过后利用session会话进行用户登录后的...
Cookie 的属性,HttpOnly、Secure、Expire的作用
subsistent的博客
03-27 901
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。若此属性为true,则只有在http请求头会带有此cookie的信息,而不能通过document.cookie来访问此cookie。如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
Cookiehttponly的属性和作用
热门推荐
欢迎
09-10 4万+
原文转载自:https://blog.csdn.net/qq_38553333/article/details/80055521   1.什么是HttpOnly? 如果cookie设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全...
关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
setcookiehttponly属性
专注于性能调优、安全、自动化
04-30 1万+
setcookie函数原型:http://cn2.php.net/setcookie setcookiehttponly属性如果设为true的话,会增加对xss防护的安全系数。它有以下特点:      1、setcookie()的第七个参数    2、设为true后,只能通过http访问,javascript无法访问    3、防止xss读取cookie    4、php5.2以上
thinkphp里的sessioncookie方法
weixin_33775572的博客
12-24 95
thinkphp里,对于sessioncookie的操作,不管是存值、获取、删除,均只有一个方法。现分享出来,供大家参考参考。 /** * session管理函数 * @param string|array $name session名称 如果为数组则表示进行session设置 * @param mixed $value session值 * @return mixed */ func...
php怎么 使用 session_set_cookie_params() 函数来设置 session 的 lifetime
02-06
1. 在 PHP 代码包含 session_set_cookie_params() 函数。您可以通过在代码使用以下语句来包含函数: ``` session_set_cookie_params(lifetime, path, domain, secure, httponly); ``` 2. 传递参数。您可以传递...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值