如何保证 cookie 只能被 PHP 读取,而客户端 Javascript 脚本读取不了?

最新推荐文章于 2020-04-15 21:16:47 发布
最新推荐文章于 2020-04-15 21:16:47 发布
阅读量363 收藏
点赞数
文章标签: php javascript python ViewUI
原文链接:https://my.oschina.net/u/133669/blog/63594
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

PHP setcookie 函数的最后一个参数 $httponly 为 true 时,cookie 只能被通过 http 协议读取,而不能被客户端脚本(包括 JS)读取。该选项有助于减少 XSS 跨站脚本攻击。

该选项从 PHP 5.2.0 开始被支持,并且不是所有的浏览器都支持这个特性。

既然不是所有的浏览器都支持这个特性,那么仅依靠这个特行来提升安全性就不那么靠谱了。其实,可以考虑将 cookie 加密,那么 Server 发送给 Client 的 cookie 就无法被客户端 JS 解密(因为 JS 不知道解密算法)。这就提升了安全性能。

说到 setcookie 函数,其实 $secure 这个参数项平时我们使用的也比较少,应该引起注意。这个参数表明是否仅仅允许通过 https 安全连接来传输这个 cookie 项。

转载于:https://my.oschina.net/u/133669/blog/63594

weixin_34242819
关注
phpjavascript设置和读取cookie
weixin_30466039的博客
08-01 68
1.php设置cookie setcookie($name,$value,expire,path,domain,secrue); //$name:指的是cookie的名字;$value指的是cookie,即name的;expire指的是设置过期时间,一般是用time()+60*10这种格式,表示十分钟失效,time()-1表示马上失效;path表示cookie在服务器的有效范围,如果是“...
防止服务端产生的cookie客户端cookie替换掉
Sunny
10-21 4037
今天碰到一个问题 服务端产生的cookie客户端cookie替换掉了 解决办法: 把Cookie的HttpOnly这个属性设置为true 下面是两种添加Cookie的方法 Cookie类 /** * 根据部署路径,将cookie保存在根目录。 * * @param request * @param response * @param name cooki
提高cookie的安全性的几个建议
weixin_33700350的博客
12-21 858
2019独角兽企业重金招聘Python工程师标准>>> ...
PHP如何读取JavaScript设置的Cookie
10-20
1. 当PHP读取JavaScript设置的Cookie时,无需对进行解码处理,可以直接读取。 2. 当JavaScript设置Cookie时,同样无需对进行特殊处理,直接赋即可。 3. 如果JavaScript设置的Cookie包含文等特殊字符,当...
通过JAVASCRIPT读取ASP设定的COOKIE
10-31
通常,服务器(如ASP)可以设置Cookie,而客户端脚本(如JavaScript)则可以读取这些Cookie。本文将详细介绍如何利用JavaScript读取由ASP设定的Cookie。 #### ASP设置Cookie 首先,我们来看看ASP如何设置Cookie。...
设置和读取cookiejavascript代码
12-07
6. **HttpOnly标志**:如果设置了此标志,则JavaScript脚本无法访问该Cookie,有助于防止跨站脚本攻击(XSS)。 #### 四、JavaScript操作Cookie JavaScript提供了灵活的方式来创建、读取、更新和删除Cookie。 ####...
httpwebreqeust读取httponly的cookie方法
08-31
然而,有些Cookie被标记为`HttpOnly`,这意味着它们不能通过JavaScript客户端脚本语言访问,以增加安全性,防止XSS(跨站脚本攻击)对Cookie的窃取。但有时开发者需要在服务器端代码处理这些`HttpOnly` Cookie,...
cookie设置了HttpOnly属性,那么通过js脚本将无法读取cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
当一个Cookie被设置为HttpOnly时,JavaScript无法通过Document.cookie API或其他方式访问到这个Cookie。这样一来,即使网页存在XSS漏洞,恶意脚本也无法窃取到包含敏感信息的Cookie,从而降低了攻击者盗取用户身份...
COOKIE之安全设置漫谈
weixin_34204722的博客
06-04 328
一、标题:COOKIE之安全设置漫谈        副标:httponly属性和secure属性解析 二、引言 经常有看到XSS跨站脚本攻击窃取cookie案例,修复方案是有httponly。今天写出来倒腾下... 2.1首先必须的预备cookie知识。假如你第一次认识cookie,请先阅读我的这篇文章:  <<COOKIE漫谈>> 三、Cookie属性 co...
js读取php设置的cookie
JiaZhaoMeng的博客
07-03 609
/** * 在js加入函数 -- 而后正常调用即可 **/ function getCookie(c_name){ if (document.cookie.length > 0){ c_start = document.cookie.indexOf(c_name + "="); if (c_start != -1){ c_st...
使用PHP客户端隐藏你的JavaScript代码
Lorienn的博客
04-15 768
原文地址: Hide JavaScript code from the client 接下来我将介绍一种能够在客户端完全隐藏JavaScript代码的有效方法(就像PHP和ASP的代码一样)。 要想实现这一效果,我们需要借助PHP的力量。以下是代码部分: index.php <?PHP @session_start(); //开始我们的session部分 if(@!sessi...
Cookie设置了 HttpOnly,Secure 属性,有效的防止XSS攻击,X-Frame-Options 响应头避免点击劫持...
weixin_34214500的博客
12-14 2388
属性介绍: 1) secure属性当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输(ssl),即 只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证, 如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 )HttpOnly属性如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)...
JavaScript操作Cookie读取、写入与删除
在Web开发JavaScript是一种广泛使用的客户端脚本语言,它允许我们与用户进行交互并操作网页内容。在本资源,重点讲述了JavaScript如何处理超链接以及对Cookies的操作,这对于理解和创建动态网页是至关重要的。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值