PHP学习笔记 随笔

最新推荐文章于 2024-07-27 22:51:17 发布
最新推荐文章于 2024-07-27 22:51:17 发布
阅读量188 收藏
点赞数
文章标签: php cookie_httponly xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40139740/article/details/102859246
版权

cookie_httponly

1.设置方式:

在php代码的最开始的地方 设置php.ini 的配置ini_set(“session.cookie_httponly”, 1);//需要安装php的session扩展

或者直接到php.ini文件中设置 Session.cookie_httponly=1;

(init_set在当前php程序中设置有效 程序结束后失效)

2. 作用

预防xss攻击 (使用js恶意获取 网站用户的sessionId, 冒充用户身份,请求网站,进行恶意操作,造成用户信息的泄露和用户财产损失)

举例子: 某用户登录某A网站,网站中存在该用户的账号密码,网站中弹出一个恶意框框,该用户点击跳入到另一个网站B, B网站会通过js获取该用户携带进来的sessionId和A网站的地址, B网站就可以通过sesssionId获取冒充该用户的身份、请求和操作A网站,造成用户信息泄露。

3. 原理

cookie_httponly 故名思议 获取cookie只能通过http请求获取, 所以上面例子中通过js获取cookie的信息是被禁止的,只能通过ajax请求服务器时才可以获取到cookie中的sessionId。从而预防了xss攻击。

(等同于 header(“Set-Cookie: hidden=value; httpOnly”);
在客户端请求服务器时 服务器把http header头部信息返回给客户端、通知客户端浏览器cookie只能由http协议访问。)

深入理解LINUX内核
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP个人学习笔记
03-13
PHP个人学习笔记
PHP学习笔记之一
10-28
本系列适合有其他编程语言经验而PHP经验为0的人快速参考入门。
超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案
dhklsl的专栏
08-19 1万+
解决漏扫cookie漏洞:Cookie No HttpOnly Flag和Cookie Without SameSite Attribute。设置cookiehttponly和samesite属性。
HTTP Cookie详解
Kelvin17的专栏
09-25 771
HTTP Cookie详解HTTP cookies,通常称之为“cookie”,已经存在很长时间了,但是仍然没有被充分理解。首要问题是存在许多误解,认为 cookie 是后门程序或病毒,却忽视了其工作原理。第二个问题是,对于 cookie 的操作缺少统一的接口。尽管存在这些问题,cookie 仍旧在 Web 开发中扮演者重要的角色,以至于如果没有出现相应的代替品就消失的话,我们许多喜欢的 Web 应
php设置cookieHttpOnly防止XSS攻击
weixin_30375247的博客
03-22 156
什么时XSS攻击? XSS攻击(Cross Site Scripting)中文名为跨站脚本攻击,XSS攻击时web中一种常见的漏洞。通过XSS漏洞可以伪造目标用户登录,从而获取登录后的账号操作。 网站账号登录过程中的简单步骤 web网页中在用户登录的时候,通过表单把用户输入的账号密码进行后台数据库的验证,验证通过后利用session会话进行用户登录后的...
cookie设置HttpOnly
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookieXSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
Cookie中的httponly的属性和作用
欢迎
09-10 4万+
原文转载自:https://blog.csdn.net/qq_38553333/article/details/80055521   1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookieXSS全...
php 正则表达式学习笔记
10-30
最近在学习正则,一些比较有用的东西怕忘记,记下来,比较乱,想一条记录一条:
PHP学习笔记
01-27
个人学习时整理的PHP笔记,适合初学者,包含了最基本的PHP学习内容以及初学者所要注意的事项,非常实用!
COOKIE之安全设置漫谈
weixin_34204722的博客
06-04 314
一、标题:COOKIE之安全设置漫谈        副标:httponly属性和secure属性解析 二、引言 经常有看到XSS跨站脚本攻击窃取cookie案例,修复方案是有httponly。今天写出来倒腾下... 2.1首先必须的预备cookie知识。假如你第一次认识cookie,请先阅读我的这篇文章:  <<COOKIE漫谈>> 三、Cookie属性 co...
Cookie中的HttpOnly详解
weixin_34127717的博客
11-22 326
详见:http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt377   1.什么是HttpOnly?   如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,具体一点的介绍请google进行搜索 2.javaEE的API是否支持?   目前sun公司还没有公布相关的...
Cookie深度解析
热门推荐
寻道
03-04 5万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/20466351,转载请注明。 最近在公司做了Web端单点登录(SSO)功能,基于Cookie实现,做完之后感觉有必要总结一下,本文着重讲解Cookie,下文会说明单点登录的实现方案。 Cookie简介 众所周知,Web协议(也就...
PHP设置CookieHTTPONLY属性
37度2
11-25 6151
httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。     大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cookie
setcookiehttponly属性
专注于性能调优、安全、自动化
04-30 1万+
setcookie函数原型:http://cn2.php.net/setcookie setcookiehttponly属性如果设为true的话,会增加对xss防护的安全系数。它有以下特点:      1、setcookie()的第七个参数    2、设为true后,只能通过http访问,javascript无法访问    3、防止xss读取cookie    4、php5.2以上
PHP商城案例
王世凡的技术博客
07-26 307
http://www.e9933.com/
[Meachines] [Easy] Beep Elastix-CMS-LFI
最新发布
07-27 249
#Elastix-CMS-LFI
MICA:面向复杂嵌入式系统的混合关键性部署框架
openEuler_的博客
07-23 1071
这种方式存在的问题是:硬件上需要两套系统、集成度不高,通信受限于片外物理机制的限制(如速度、时延等),软件上 Linux 和实时操作系统两者之间是割裂的,在灵活性上、可维护性上存在改进空间。在上述架构中,virtio-rpmsg 相当于网络协议中的 MAC 层,提供高效的底层通信机制,rpmsg 相当于网络协议中的传输层,提供了基于端点(endpoint)与通道(channel)抽象的通信机制,remoteproc 提供不同南向底座的生命周期管理功能,包括初始化、启动、暂停、结束等。MICA 的守护进程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值