httpOnly實現防止XSS時避免JavaScript讀取cookie
如果cookie設定了HttpOnly標誌,可以在發生XSS時避免JavaScript讀取cookie,這也是HttpOnly被引入的原因。
實現方式:
PHP中的設定
1.在php.ini中
session.cookie_httponly = true
2.在程式中全域性設定:
<?php
ini_set("session.cookie_httponly", 1);
// or
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
?>
3.Cookie操作函式setcookie函式和setrawcookie函式也專門新增了第7個引數來做為HttpOnly的選項,開啟方法為:
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
4.對於PHP5.1以前版本以及PHP4版本的話,則需要通過header函式來變通下了:
header("Set-Cookie: hidden=value; httpOnly");
本文轉自 hgditren 51CTO部落格,原文連結:http://blog.51cto.com/phpme/1771572,如需轉載請自行聯絡原作者
相關文章
- JavaScript 讀取cookieJavaScriptCookie
- JavaScript 建立與讀取cookieJavaScriptCookie
- JavaScript隨機數實現防止快取JavaScript隨機快取
- Cookie HttpOnly 屬性CookieHTTP
- cookie Secure與HttpOnlyCookieHTTP
- JavaScript 寫入與讀取cookieJavaScriptCookie
- Cookie設定HttpOnly屬性CookieHTTP
- 什麼是 cookie 的 httponly 屬性CookieHTTP
- 如何防止XSS攻擊
- 二十七:XSS跨站之程式碼及httponly繞過HTTP
- JavaScript 設定cookie 過期時間JavaScriptCookie
- javascript實現時間器JavaScript
- 09-XSS鍵盤監聽、cookie竊取&檔案上傳繞過Cookie
- javascript cookieJavaScriptCookie
- 利用mitmproxy實現抖音Cookie,裝置ID獲取(一)MITCookie
- 利用 mitmproxy 實現抖音 Cookie,裝置 ID 獲取 (一)MITCookie
- cookie和XSS, CSRF的相親相愛Cookie
- ES 實現實時從Mysql資料庫中讀取熱詞,停用詞MySql資料庫
- Java實時讀取日誌檔案Java
- 純JavaScript實現一個帶cookie的學生管理系統JavaScriptCookie
- 使用JavaScript實現獲取當前日期JavaScript
- JavaScript 建立CookieJavaScriptCookie
- 前端安全系列(一):如何防止XSS攻擊?前端
- Spring中防止跨站指令碼 (XSS)攻擊Spring指令碼
- PHP 安全輸入輸出方式 「防止 XSS 注入」PHP
- JavaScript 設定Cookie過期時間無效JavaScriptCookie
- laravel利用Redis來實現網站快取讀取LaravelRedis網站快取
- 原生javascript實現的選取搜尋元件JavaScript元件
- JavaScript 刪除cookieJavaScriptCookie
- JavaScript cookie 跨域JavaScriptCookie跨域
- Cookie 詳解以及實現一個 cookie 操作庫Cookie
- 前端實現csrf防止攻擊前端
- 如何獲取Cookie並使用Cookie侵入Cookie
- @PropertySource 註解實現讀取 yml 檔案
- laravel8 防止XSS攻擊 預防處理方案Laravel
- HttpServletRequest 獲取 CookieHTTPServletCookie
- gatling 獲取 cookieCookie
- 【網路安全】PostMessage:分析JS實現XSSJS
- JeecgBoot抵禦XSS攻擊實現方案boot