cookie的httponly的设置(可简单仿XSS***)


httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。为了缓解XSS(跨站点脚本***)带来的信息泄露风险,Internet Explorer 6 SP1为Cookie引入了一个新属性。这个属性规定,不许通过客户端脚本访问cookie。使用HTTP-only Cookie后,Web 站点就能排除cookie中的敏感信息被发送给***的计算机或者使用脚本的Web站点的可能性。


演示1:没有设置httponly的cookie

<?php
setcookie("test_username", "testnamedfs", time()+3600, "/", "", false);
?>
<h1>演示:没有设置httponly的cookie</h1>
<h2>【php后台代码可以获取cookie,js或浏览器也可以获取cookie】</h2>
<?php
echo 'php打印出cookie:<pre />';
print_r($_COOKIE);
?>
<hr />
<script>
document.write('js获取到的cookie:'+document.cookie);
</script>


演示2:设置了httponly的cookie

<?php
setcookie("test_username", "testnamedfs", time()+3600, "/", "", false, true);
?>
<h1>演示:设置了httponly的cookie</h1>
<h2>【php后台代码可以获取cookie,js或浏览器 不可以 获取cookie】</h2>
<?php
echo 'php打印出cookie:<pre />';
print_r($_COOKIE);
?>
<hr />
<script>
document.write('js获取到的cookie:'+document.cookie);
</script>


总结:

1、网站设置了httponly后,前台任何客户端(如:js、浏览器等)都不能获取到cookie。只能通过后台代码获取(如:java、php代码)。

2、存在浏览器兼容性,比如cookie设置了httponly,火狐浏览器依然能显示cookie。

3、适用情况:前台cookie都是从后台传递判断。不需要js获取。


网上资料:

http://desert3.iteye.com/blog/869080

http://geeksavetheworld.com/blog/2013/10/09/php-set-cookie-httponly-to-prevent-xss-attack/

http://hi.baidu.com/huazai7418/item/293a16a92225a81ca8cfb78c