HttpOnly与cookie安全-创新互联
在xss***中,有种方式便是身份伪造,***者通过恶意脚本获取用户的cookie信息,以此cookie信息伪造真实用户去访问用户的私密空间。
10年积累的成都网站建设、网站制作经验,可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你,你也不认识我。但先网站制作后付款的网站建设流程,更有乌翠免费网站建设让你可以放心的选择与我们合作。在本片文章中,我们谈及httponly与cookied的安全问题。
httponly最早由微软提出,即浏览器禁止页面js访问带有HttpOnly属性的cookie。HttpOnly并不直接对抗XSS***,只是防止XSS***者窃取cookie。对于存放敏感信息的cookie,可以通过设置该属性来避免***者窃取cookie。
下面谈谈如何开启HttpOnly属性,其实在php.ini中我们开启就行,就像这样:
,或在会话中开启会话级别的HttpOnly属性:ini_set()。
关于其它的问题详见:http://netsecurity.51cto.com/art/201305/393775.htm
关于cookie的覆盖问题见:http://netsecurity.51cto.com/art/201404/435401.htm
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
当前标题:HttpOnly与cookie安全-创新互联
转载源于:http://hbruida.cn/article/dgcgpp.html