httpOnly实现防止XSS时避免JavaScript读取cookie

最新推荐文章于 2023-06-27 15:11:49 发布
最新推荐文章于 2023-06-27 15:11:49 发布
阅读量1.7k 收藏
点赞数
文章标签: javascript php java ViewUI
原文链接:https://yq.aliyun.com/articles/514199
版权

如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因。


实现方式:


PHP中的设置
    1.在php.ini中
 session.cookie_httponly = true

 

    2.在程序中全局设定:
 <?php

  ini_set("session.cookie_httponly", 1);
 // or

  session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
 ?>

    3.Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:

 setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
 setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

 

    4.对于PHP5.1以前版本以及PHP4版本的话,则需要通过header函数来变通下了:


  header("Set-Cookie: hidden=value; httpOnly");

 









本文转自 hgditren 51CTO博客,原文链接:http://blog.51cto.com/phpme/1771572,如需转载请自行联系原作者
weixin_34128839
关注
xss防御之php利用httponlyxss攻击
10-26
Cookie被设置为HttpOnly后,客户端JavaScript代码将无法读取这个Cookie。这意味着,即使攻击者通过XSS漏洞在客户端注入了恶意脚本,也无法通过脚本访问到设置了HttpOnlyCookie,从而保护了敏感信息不被窃取。 ...
Javascript读取cookie函数代码
10-28
知识点:Javascript读取cookie的函数代码实现 1. Cookie基础: Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器之后向同一服务器再发起请求被携带并发送到服务器上。Cookie主要用于以下...
cookie设置httponly属性防护XSS***
weixin_33763244的博客
01-04 1006
***者利用XSS漏洞获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,***这里用获取的COOKIE登陆账号,并进行非法操作。COOKIE设置httponly属性可以化解XSS漏洞***带来的窃取cookie的危害。PHPCOOKIE设置方法:<?phpsetcookie("xsstest", "xsstest", ...
Cookie中的httponly的属性和作用
weixin_30235225的博客
08-21 295
1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookieXSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽...
JS 判断 浏览器 是否禁用Cookie
q1054261752的博客
08-19 6801
该属性是一个只读的布尔值。 语法:navigator.cookieEnabled 如果浏览器启用了cookie,该属性值为true。如果禁用了cookie,则值为false。实例1: 检测浏览器是否启用了cookie。 <script type=text/javascript document.write( Cookies启用:+navigator.cookieEnabled ); </scrip
javajs添加删除读取cookie
yflxc的专栏
05-07 1577
js方式 //读取cookies  function getCookieValue(name){    var arr,reg=new RegExp("(^| )"+name+"=([^;]*)(;|$)");   if(arr=document.cookie.match(reg))   return unescape(arr[2]);  else    return null; 
Cookie设置HttpOnly属性,防止前端脚本更改cookieXSS攻击
Sunyc1992的博客
11-02 8515
Tomcat版本为6.0.39,JDK版本为1.6update45 在Web工程上增加一个Filter对Cookie进行处理 public class CookieFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response,
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
当一个Cookie被设置为HttpOnlyJavaScript无法通过Document.cookie API或其他方式访问到这个Cookie。这样一来,即使网页中存在XSS漏洞,恶意脚本也无法窃取到包含敏感信息的Cookie,从而降低了攻击者盗取用户身份...
httpwebreqeust读取httponlycookie方法
08-31
然而,有些Cookie被标记为`HttpOnly`,这意味着它们不能通过JavaScript等客户端脚本语言访问,以增加安全性,防止XSS(跨站脚本攻击)对Cookie窃取。但有开发者需要在服务器端代码中处理这些`HttpOnly` Cookie,...
cookie设置httpOnly和secure属性实现及问题
01-03
### Cookie设置httpOnly和secure属性实现及问题 #### 一、引言 在现代Web开发中,保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
Go语言Cookie常用设置
书香水墨
07-12 714
一.HttpOnly HttpOnly:控制Cookie的内容是否可以被JavaScript访问到。通过设置HttpOnly为true防止XSS攻击防御手段之一 默认HttpOnly为false,表示客户端可以通过js获取 在项目中导入jquery.cookie.js库,使用jquery获取客户端Cookie内容 HTML代码如下 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"
XSS攻击防范
weixin_55684314的博客
05-30 334
危害: 盗取用户信息 网页挂马,进行恶意操作 制造蠕虫 劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、发送电子邮件等 强制弹出广告页面等 网络钓鱼等 防范: 一般的浏览器都内置了防范XSS的方法,例如CSP(Content Security Policy,内容安全策略)可防范简单XSS攻击。但对于完全防范来说,还需要更高级的方案。 httponly HttpOnly防止cookies被劫持的最常用方法之一。cookie只能通过HTTP协议读取(HTTPS也可以)。cookie
防止XSS攻击封装
weixin_30682415的博客
08-12 386
<?php if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 // ...
[译] 如何使用 HTTP Headers 来保护你的 Web 应用
weixin_33929309的博客
04-18 160
原文地址:How To Secure Your Web App With HTTP Headers 原文作者:Hagay Lupesko 译文出自:掘金翻译计划 译者:bambooom 校对者:xunge0613、lsvih 如何使用 HTTP Headers 来保护你的 Web 应用 众所周知,无论是简单的小网页还是复杂的单页应用,Web 应用都是网络攻击的目标。2016 年,这种最主要...
Cookie(Secure和HttpOnly属性) JSESSIONID 刷新
Mr.Chen的博客
01-03 4305
目录 一:Cookie(Secure和HttpOnly属性) 二:JSESSIONID是什么 三:JSESSIONID 刷新 一:Cookie(Secure和HttpOnly属性)  基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出...
cookie httponly java_浅谈Js 操作Cookie,以及HttpOnly 的限制
weixin_39688856的博客
03-03 674
. Js 操作 Cookie.一般来说,只有服务器操作Cookie 才能保证一些必要的安全。但有候,可能需要前端来增删改查 Cookie, 这个候咱们的主角出现了——HttpOnly(๑•̀ㅂ•́) ✧.HttpOnly: HttpOnly is an additional flag included in a Set-Cookie HTTP response header. Using th...
Cookie中的HttpOnly属性和XSS攻击
最新发布
AGreatLoser
06-27 6322
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击(XSS)的防护。将 CookiehttpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
liuqinhou的博客
06-06 1865
1.什么是HttpOnly?如果您在cookie中设置了HttpOnly属性,那么通过将无法读取cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值