让你的web应用更安全-tutorial php-php.cn

Rumah

pembangunan bahagian belakang

tutorial php

让你的web应用更安全

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 20, 2016 pm 12:33 PM

X-Frame-Options
Cookie of secure and httpOnly

设置X-Frame-Options

https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

X-Frame-Options 主要是为了防止点击劫持(clickjacking)点击劫持（clickjacking）是一种在网页中将恶意代码等隐藏在看似无害的内容（如按钮）之下，并诱使用户点击的手段。X-Frame-Options HTTP 头部字段用来指示传输的资源是否可以被包含在或中，服务端可以声明这个策略来确保自己的网页内容不会被嵌入到其他的页面中．<strong>X-Frame-Options</strong>　具有３个具体的值：

DENY表明网页内容不可以被嵌入到任何frame中
SAMEORIGIN同源策略，声明网页内容可以被同一域下面的frame嵌入，但不能被不在同一域下面的frame嵌入．同源：协议，域名和端口全部相同，即使是ip与域名对应，也认为是不同域下，下面说明了具体的情况，与： http://www.example.com/dir/page.html对比：

Compared URL	Outcome	Reason
http://www.example.com/dir/page2.html	同源	协议主机端口相同
http://www.example.com/dir2/other.html	同源	协议主机端口相同
http://username:password@www.example.com/dir2/other.html	同源	协议主机端口相同
http://www.example.com:81/dir/other.html	不同源	端口不同
https://www.example.com/dir/other.html	不同源	协议不同
http://en.example.com/dir/other.html	不同源	主机名不同
http://example.com/dir/other.html	不同源	主机不同，必须完全匹配
http://v2.www.example.com/dir/other.html	不同源	主机不同，必须完全匹配
http://www.example.com:80/dir/other.html	Depends	Port explicit. Depends on implementation in browser

ALLOW-FROM指定具体的来源

服务器配置

Apache

添加站点配置：

Header always append X-Frame-Options SAMEORIGIN

Nginx

添加 http , server 或者　location 配置

add_header X-Frame-Options SAMEORIGIN;

IIS

添加到站点的 Web.config

<system.webServer>  ...  <httpProtocol>    <customHeaders>      <add name="X-Frame-Options" value="SAMEORIGIN" />    </customHeaders>  </httpProtocol>  ...</system.webServer>

HAProxy

添加到 frontend, listen, 或者 backend 配置中:

rspadd X-Frame-Options:\ SAMEORIGIN

更安全的Cookie

Cookie 是浏览器储存在客户端的小的文本文件，用于客户端与服务器之间互传．Web服务器通过指定 http header 的 Set-Cookie, 其结构如下：

Set-Cookie: name=value[; expires=date][; domain=domain][; path=path][; secure][; httpOnly]

可以看到，Cookie主要包含一下几个字段：

name
value
expire
domain
path
secure
httpOnly

这里主要讲secure 和 httpOnly

httpOnly标识

用来告诉浏览器不能通过JavaScript的 document.cookie 来访问 cookie, 目的是避免 跨站脚本攻击 (XSS)

secure标识

强制应用通过Https来传输 Cookie

PHP Yii2中设置Cookie的 httpOnly 和 secure

设置 _csrf

Yii2中的 Cookie yii\web\Cookie默认是 httpOnly的,

class Cookie extends \yii\base\Object{     public $name;    public $value = '';    public $domain = '';    public $expire = 0;    public $path = '/';    public $secure = false;    public $httpOnly = true;}

使用 = Html::csrfMetaTags() ?> 就会生成一个 name=_csrf 的 Cookie, 默认是 httpOnly, 通过注入request来改变:

在 config/main.php 中

    ...    'components' => [        'request' => [            'csrfCookie' => [                'httpOnly' => true,                'secure'   => SECURE_COOKIE,            ],        ],    ...    ]    ...

注入 csrfCookie 的 httpOnly 和 secure 属性值

$cookies = Yii::$app->response->cookies;$cookies->add(new Cookie([    'name' => 'accesstoken',     'value' => $accessToken,     'expire' => time() + Token::EXPIRE_TIME,     'secure' => SECURE_COOKIE    ]));

注意更新 Cookie 的时候也需要更新 secure 属性

$cookies = Yii::$app->request->cookies;if (($cookie = $cookies->get('accesstoken')) !== null) {    $cookie->secure = SECURE_COOKIE;    // 这里很重要, 不然就会丢失    $cookie->expire = time() + Token::EXPIRE_TIME;    Yii::$app->response->cookies->add($cookie);}

Kenyataan

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Artikel Berkaitan

Terangkan bagaimana pengimbangan beban mempengaruhi pengurusan sesi dan bagaimana mengatasinya.Apr 29, 2025 am 12:42 AM

Beban mengimbangi mempengaruhi pengurusan sesi, tetapi dapat diselesaikan dengan replikasi sesi, ketegangan sesi, dan penyimpanan sesi berpusat. 1. Sesi Replikasi Salinan Data Sesi Antara Pelayan. 2. Sesi Stickiness mengarahkan permintaan pengguna ke pelayan yang sama. 3. Penyimpanan Sesi Pusat menggunakan pelayan bebas seperti Redis untuk menyimpan data sesi untuk memastikan perkongsian data.

Terangkan konsep penguncian sesi.Apr 29, 2025 am 12:39 AM

Sessionlockingisatechniqueusedtoensureauserererersessionremainsexclusivetooneuseratatime.IScrucialFreventingDataCorruptionSandsecuritybreachesinmulti-userapplications.SessionLockingISimplementedusingserverververveChan

Adakah terdapat alternatif untuk sesi PHP?Apr 29, 2025 am 12:36 AM

Alternatif untuk sesi PHP termasuk kuki, pengesahan berasaskan token, sesi berasaskan pangkalan data, dan redis/memcached. 1.Cookies Menguruskan sesi dengan menyimpan data pada klien, yang mudah tetapi rendah dalam keselamatan. 2. Pengesahan berasaskan token menggunakan token untuk mengesahkan pengguna, yang sangat selamat tetapi memerlukan logik tambahan. 3.Database-berasaskan data menyimpan data dalam pangkalan data, yang mempunyai skalabilitas yang baik tetapi boleh menjejaskan prestasi. 4. Redis/Memcached menggunakan cache yang diedarkan untuk meningkatkan prestasi dan skalabiliti, tetapi memerlukan pemadanan tambahan

Tentukan istilah 'sesi rampasan' dalam konteks PHP.Apr 29, 2025 am 12:33 AM

SessionHijacking merujuk kepada penyerang yang menyamar sebagai pengguna dengan mendapatkan sessionId pengguna. Kaedah pencegahan termasuk: 1) menyulitkan komunikasi menggunakan HTTPS; 2) mengesahkan sumber sessionId; 3) menggunakan algoritma generasi sesi yang selamat; 4) Secara kerap mengemas kini sessionId.

Apakah bentuk penuh PHP?Apr 28, 2025 pm 04:58 PM

Artikel ini membincangkan PHP, memperincikan bentuk penuhnya, kegunaan utama dalam pembangunan web, perbandingan dengan Python dan Java, dan kemudahan pembelajarannya untuk pemula.

Bagaimanakah PHP mengendalikan data borang?Apr 28, 2025 pm 04:57 PM

PHP mengendalikan data borang menggunakan $ \ _ post dan $ \ _ mendapatkan superglobals, dengan keselamatan memastikan melalui pengesahan, sanitisasi, dan interaksi pangkalan data yang selamat.

Apakah perbezaan antara PHP dan ASP.NET?Apr 28, 2025 pm 04:56 PM

Artikel ini membandingkan PHP dan ASP.NET, memberi tumpuan kepada kesesuaian mereka untuk aplikasi web berskala besar, perbezaan prestasi, dan ciri keselamatan. Kedua-duanya berdaya maju untuk projek besar, tetapi PHP adalah sumber terbuka dan bebas platform, sementara ASP.NET,

Adakah PHP adalah bahasa sensitif kes?Apr 28, 2025 pm 04:55 PM

Kepekaan kes PHP berbeza -beza: Fungsi tidak sensitif, manakala pembolehubah dan kelas sensitif. Amalan terbaik termasuk penamaan yang konsisten dan menggunakan fungsi kes-insensitif untuk perbandingan.

See all articles

Alat AI Hot

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Penyingkiran pakaian AI

Video Face Swap

Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

Tunjukkan Lagi

Artikel Panas

Apa yang Baru di Windows 11 KB5054979 & Cara Memperbaiki Masalah Kemas Kini

3 minggu yang laluByDDD

Bagaimana untuk memperbaiki KB5055523 gagal dipasang di Windows 11?

2 minggu yang laluByDDD

Inzoi: Cara Memohon ke Sekolah dan Universiti

3 minggu yang laluByDDD

Bagaimana untuk memperbaiki KB5055518 gagal dipasang di Windows 10?

2 minggu yang laluByDDD

Roblox: Rails Dead - Cara Memanggil dan Mengalahkan Nikola Tesla

4 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌

Tunjukkan Lagi

Alat panas

MinGW - GNU Minimalis untuk Windows

Projek ini dalam proses untuk dipindahkan ke osdn.net/projects/mingw, anda boleh terus mengikuti kami di sana. MinGW: Port Windows asli bagi GNU Compiler Collection (GCC), perpustakaan import yang boleh diedarkan secara bebas dan fail pengepala untuk membina aplikasi Windows asli termasuk sambungan kepada masa jalan MSVC untuk menyokong fungsi C99. Semua perisian MinGW boleh dijalankan pada platform Windows 64-bit.