2201浏覽量

Web安全php設置cookie爲HttpOnly防止XSS攻擊

來源:青橙科技 時間:2018-04-24

XSS攻擊(Cross Site Scripting)中(zhōng)文名爲跨站腳本攻擊,XSS攻擊時web中(zhōng)一(yī)種常見的漏洞。通過XSS漏洞可以僞造目标用戶登錄,從而獲取登錄後的賬号操作。

PHP5.2以上版本已支持HttpOnly參數的設置,同樣也支持全局的HttpOnly的設置,在php.ini中(zhōng)
  -----------------------------------------------------
  session.cookie_httponly =
  -----------------------------------------------------
  設置其值爲1或者TRUE,來開(kāi)啓全局的Cookie的HttpOnly屬性,當然也支持在代碼中(zhōng)來開(kāi)啓:
  -----------------------------------------------------
  
  -----------------------------------------------------
  Cookie操作函數setcookie函數和setrawcookie函數也專門添加了第7個參數來做爲HttpOnly的選項,開(kāi)啓方法爲:
  -------------------------------------------------------
  setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
  setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
  -------------------------------------------------------
  對于PHP5.1以前版本以及PHP4版本的話(huà),則需要通過header函數來變通下(xià)了:
  -------------------------------------------------------------
  
  -------------------------------------------------------------

各類Web應用程序請勿在生(shēng)産環境中(zhōng)開(kāi)啓輸出調試錯誤消息和異常就可以有效避免相關錯誤信息或異常被安全掃描軟件檢測出誤認爲是安全漏洞!

聯系我(wǒ)們

一(yī)次需求提交或許正是成就一(yī)個出色産品的開(kāi)始。
歡迎填寫表格或發送合作郵件至: qczsky@126.com

大(dà)理青橙科技

電(diàn)話(huà):13988578755 13988578755

郵箱:qczsky@126.com

地址:大(dà)理市下(xià)關龍都春天10層