cookie的httponly的设置(可简单仿XSS攻击)

最新推荐文章于 2024-06-11 19:45:00 发布
最新推荐文章于 2024-06-11 19:45:00 发布
阅读量1.2k 收藏 2
点赞数
文章标签: java 后端 php
原文链接:https://yq.aliyun.com/articles/540220
版权

cookie的httponly的设置(可简单仿XSS攻击)


httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。为了缓解XSS(跨站点脚本攻击)带来的信息泄露风险,Internet Explorer 6 SP1为Cookie引入了一个新属性。这个属性规定,不许通过客户端脚本访问cookie。使用HTTP-only Cookie后,Web 站点就能排除cookie中的敏感信息被发送给黑客的计算机或者使用脚本的Web站点的可能性。


演示1:没有设置httponly的cookie

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
setcookie( "test_username" "testnamedfs" , time()+3600,  "/" "" , false);
?>
<h1>演示:没有设置httponly的cookie</h1>
<h2>【php后台代码可以获取cookie,js或浏览器也可以获取cookie】</h2>
<?php
echo  'php打印出cookie:<pre />' ;
print_r( $_COOKIE );
?>
<hr />
<script>
document.write( 'js获取到的cookie:' +document.cookie);
</script>


演示2:设置了httponly的cookie

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
setcookie( "test_username" "testnamedfs" , time()+3600,  "/" "" , false, true);
?>
<h1>演示:设置了httponly的cookie</h1>
<h2>【php后台代码可以获取cookie,js或浏览器 不可以 获取cookie】</h2>
<?php
echo  'php打印出cookie:<pre />' ;
print_r( $_COOKIE );
?>
<hr />
<script>
document.write( 'js获取到的cookie:' +document.cookie);
</script>


总结:

1、网站设置了httponly后,前台任何客户端(如:js、浏览器等)都不能获取到cookie。只能通过后台代码获取(如:java、php代码)。

2、存在浏览器兼容性,比如cookie设置了httponly,火狐浏览器依然能显示cookie。

3、适用情况:前台cookie都是从后台传递判断。不需要js获取。


网上资料:

http://desert3.iteye.com/blog/869080

http://geeksavetheworld.com/blog/2013/10/09/php-set-cookie-httponly-to-prevent-xss-attack/

http://hi.baidu.com/huazai7418/item/293a16a92225a81ca8cfb78c




   本文转自许琴 51CTO博客,原文链接:http://blog.51cto.com/xuqin/1389919,如需转载请自行联系原作者







weixin_33908217
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
xss防御之php利用httponlyxss攻击
10-26
这意味着,即使攻击者通过XSS漏洞在客户端注入了恶意脚本,也无法通过脚本访问到设置HttpOnlyCookie,从而保护了敏感信息不被窃取。 在PHP设置HttpOnly的方法主要有以下几种: 1. 在php.ini文件中设置...
cookie设置HttpOnly
热门推荐
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
33 _ 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
最新发布
所学所思
06-11 1040
XSS全称是Cross Site Scripting,为了与“CSS”区分开来,故简称XSS,翻译过来就是“跨站脚本”。XSS攻击是指黑客往HTML文件中或者DOM中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往HTML文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是XSS这个名字却一直保留至今。
cookiehttpOnly设置与使用问题
bingmoujs的博客
12-21 2676
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性:HttpOnly;
Cookie设置HttpOnly
while(life)++;
04-02 3301
公司处理安全缺陷,解决跨站脚本攻击, 防止跨站脚本漏洞进行Cookie劫持攻击 Filter类 import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Calendar; import java.util.Date; import java.util.Locale; import javax....
Cookiehttponly属性设置方法
weixin_34240520的博客
06-16 1017
为了解决XSS(跨站脚本***)的问题,从IE6开始支持cookieHttpOnly属性,这个属性目前已被大多数浏览器(IE、FF、Chrome、Safari)所支持。当cookie中的HttpOnly属性被设置为true时,前端脚本JavaScript就无法访问或操作cookie了(只能通过后台访问),这样XSS就失效了。即便是这样,也不要将重要信息存入cookie。PH...
PHP设置CookieHTTPONLY属性方法
10-20
总的来说,启用HTTPOnly属性可以有效提高网站的安全性,因为它阻止了JavaScript对敏感Cookie的访问,从而降低了XSS攻击的风险。但请注意,HTTPOnly并不能防止所有类型的攻击,例如跨站请求伪造(CSRF)等。因此,综合...
cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
HttpOnly属性是Cookie的一个扩展,其主要目的是增强对XSS攻击的防护。当一个Cookie设置HttpOnly时,JavaScript无法通过Document.cookie API或其他方式访问到这个Cookie。这样一来,即使网页中存在XSS漏洞,恶意...
我如何设置一个http only的cookie
m0_57236802的博客
08-15 3196
设置一个HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置HttpOnly
cookie安全之HTTP -only
Whatsoever1的博客
04-14 615
的setHttpOnly方法用于设置cookie是否可以被认为是HTTPOnly。如果cookie设置了only属性,则JavaScript脚本将无法读取cookie信息,防止XSS攻击。在php.ini中设置 session.cookie_httponly = 其值为1或者TRUE,来开启全局的CookieHttpOnly属性。
Cookie中的HttpOnly属性和XSS攻击
AGreatLoser
06-27 5882
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击(XSS)的防护。将 CookiehttpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
CookieHttpOnly的使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
关于获取受httponly属性保护的cookie的思考
weixin_30342209的博客
03-26 1万+
以前在面试过程中有被遇到过这个问题,当时也是答的模棱两可,后面参考了网上的文章进行一些简单的整理和思考。 httponly的作用 如果您在cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,主要影响就是XSS攻击中无法通过document对象直接获取到cookie。 如何绕过 首先需要明确的是,因为无法通过js脚本获得cookie信息,经...
cookiehttponly设置(可简单仿XSS***)
weixin_34302798的博客
04-03 127
cookiehttponly设置(可简单仿XSS***)httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。为了缓解XSS(跨站点脚本***)带来的信息泄露风险,Internet Explorer 6 SP1为Cookie引入了一个新属性。这个属性规定,不许通过客户端脚本访问cookie。使用HTTP-only Cookie后,...
检测到会话cookie中缺少HttpOnly属性
lxyoucan的博客
07-15 1564
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
浅析cookiehttponly
a7442358的专栏
12-21 1162
浅析cookiehttponly
Java 设置 httponly cookie
allway2的博客
08-02 5297
JavaHttpCookie类的setHttpOnly(BooleanhttpOnly)方法用于指示cookie是否可以被认为是HTTPOnly。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie设置了“httponly”属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值