cari

  • X-Frame-Options
  • Cookie of secure and httpOnly

设置X-Frame-Options

https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

X-Frame-Options 主要是为了防止点击劫持(clickjacking)点击劫持(clickjacking)是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。X-Frame-Options HTTP 头部字段用来指示传输的资源是否可以被包含在 或

  • DENY表明网页内容不可以被嵌入到任何frame中

  • SAMEORIGIN同源策略,声明网页内容可以被同一域下面的frame嵌入,但不能被不在同一域下面的frame嵌入.同源: 协议,域名和端口全部相同,即使是ip与域名对应,也认为是不同域下,下面说明了具体的情况,与: http://www.example.com/dir/page.html对比:

Compared URL Outcome Reason
http://www.example.com/dir/page2.html 同源 协议主机端口相同
http://www.example.com/dir2/other.html 同源 协议主机端口相同
http://username:password@www.example.com/dir2/other.html 同源 协议主机端口相同
http://www.example.com:81/dir/other.html 不同源 端口不同
https://www.example.com/dir/other.html 不同源 协议不同
http://en.example.com/dir/other.html 不同源 主机名不同
http://example.com/dir/other.html 不同源 主机不同,必须完全匹配
http://v2.www.example.com/dir/other.html 不同源 主机不同,必须完全匹配
http://www.example.com:80/dir/other.html Depends Port explicit. Depends on implementation in browser
  • ALLOW-FROM指定具体的来源

服务器配置

Apache

添加站点配置:

Header always append X-Frame-Options SAMEORIGIN

Nginx

添加 http , server 或者 location 配置

add_header X-Frame-Options SAMEORIGIN;

IIS

添加到站点的 Web.config

<system.webServer>  ...  <httpProtocol>    <customHeaders>      <add name="X-Frame-Options" value="SAMEORIGIN" />    </customHeaders>  </httpProtocol>  ...</system.webServer>

HAProxy

添加到 frontend, listen, 或者 backend 配置中:

rspadd X-Frame-Options:\ SAMEORIGIN

更安全的Cookie

Cookie 是浏览器储存在客户端的小的文本文件,用于客户端与服务器之间互传.Web服务器通过指定 http header 的 Set-Cookie, 其结构如下:

Set-Cookie: name=value[; expires=date][; domain=domain][; path=path][; secure][; httpOnly]

可以看到,Cookie主要包含一下几个字段:

  • name
  • value
  • expire
  • domain
  • path
  • secure
  • httpOnly

这里主要讲secure 和 httpOnly

httpOnly标识

用来告诉浏览器不能通过JavaScript的 document.cookie 来访问 cookie, 目的是避免 跨站脚本攻击 (XSS)

secure标识

强制应用通过Https来传输 Cookie

PHP Yii2中设置Cookie的 httpOnly 和 secure

设置 _csrf

Yii2中的 Cookie yii\web\Cookie默认是 httpOnly的,

class Cookie extends \yii\base\Object{     public $name;    public $value = '';    public $domain = '';    public $expire = 0;    public $path = '/';    public $secure = false;    public $httpOnly = true;}

使用 = Html::csrfMetaTags() ?> 就会生成一个 name=_csrf 的 Cookie, 默认是 httpOnly, 通过注入request来改变:

在 config/main.php 中

    ...    'components' => [        'request' => [            'csrfCookie' => [                'httpOnly' => true,                'secure'   => SECURE_COOKIE,            ],        ],    ...    ]    ...

注入 csrfCookie 的 httpOnly 和 secure 属性值

$cookies = Yii::$app->response->cookies;$cookies->add(new Cookie([    'name' => 'accesstoken',     'value' => $accessToken,     'expire' => time() + Token::EXPIRE_TIME,     'secure' => SECURE_COOKIE    ]));

注意更新 Cookie 的时候也需要更新 secure 属性

$cookies = Yii::$app->request->cookies;if (($cookie = $cookies->get('accesstoken')) !== null) {    $cookie->secure = SECURE_COOKIE;    // 这里很重要, 不然就会丢失    $cookie->expire = time() + Token::EXPIRE_TIME;    Yii::$app->response->cookies->add($cookie);}
Kenyataan
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Terangkan bagaimana pengimbangan beban mempengaruhi pengurusan sesi dan bagaimana mengatasinya.Terangkan bagaimana pengimbangan beban mempengaruhi pengurusan sesi dan bagaimana mengatasinya.Apr 29, 2025 am 12:42 AM

Beban mengimbangi mempengaruhi pengurusan sesi, tetapi dapat diselesaikan dengan replikasi sesi, ketegangan sesi, dan penyimpanan sesi berpusat. 1. Sesi Replikasi Salinan Data Sesi Antara Pelayan. 2. Sesi Stickiness mengarahkan permintaan pengguna ke pelayan yang sama. 3. Penyimpanan Sesi Pusat menggunakan pelayan bebas seperti Redis untuk menyimpan data sesi untuk memastikan perkongsian data.

Terangkan konsep penguncian sesi.Terangkan konsep penguncian sesi.Apr 29, 2025 am 12:39 AM

Sessionlockingisatechniqueusedtoensureauserererersessionremainsexclusivetooneuseratatime.IScrucialFreventingDataCorruptionSandsecuritybreachesinmulti-userapplications.SessionLockingISimplementedusingserverververveChan

Adakah terdapat alternatif untuk sesi PHP?Adakah terdapat alternatif untuk sesi PHP?Apr 29, 2025 am 12:36 AM

Alternatif untuk sesi PHP termasuk kuki, pengesahan berasaskan token, sesi berasaskan pangkalan data, dan redis/memcached. 1.Cookies Menguruskan sesi dengan menyimpan data pada klien, yang mudah tetapi rendah dalam keselamatan. 2. Pengesahan berasaskan token menggunakan token untuk mengesahkan pengguna, yang sangat selamat tetapi memerlukan logik tambahan. 3.Database-berasaskan data menyimpan data dalam pangkalan data, yang mempunyai skalabilitas yang baik tetapi boleh menjejaskan prestasi. 4. Redis/Memcached menggunakan cache yang diedarkan untuk meningkatkan prestasi dan skalabiliti, tetapi memerlukan pemadanan tambahan

Tentukan istilah 'sesi rampasan' dalam konteks PHP.Tentukan istilah 'sesi rampasan' dalam konteks PHP.Apr 29, 2025 am 12:33 AM

SessionHijacking merujuk kepada penyerang yang menyamar sebagai pengguna dengan mendapatkan sessionId pengguna. Kaedah pencegahan termasuk: 1) menyulitkan komunikasi menggunakan HTTPS; 2) mengesahkan sumber sessionId; 3) menggunakan algoritma generasi sesi yang selamat; 4) Secara kerap mengemas kini sessionId.

Apakah bentuk penuh PHP?Apakah bentuk penuh PHP?Apr 28, 2025 pm 04:58 PM

Artikel ini membincangkan PHP, memperincikan bentuk penuhnya, kegunaan utama dalam pembangunan web, perbandingan dengan Python dan Java, dan kemudahan pembelajarannya untuk pemula.

Bagaimanakah PHP mengendalikan data borang?Bagaimanakah PHP mengendalikan data borang?Apr 28, 2025 pm 04:57 PM

PHP mengendalikan data borang menggunakan $ \ _ post dan $ \ _ mendapatkan superglobals, dengan keselamatan memastikan melalui pengesahan, sanitisasi, dan interaksi pangkalan data yang selamat.

Apakah perbezaan antara PHP dan ASP.NET?Apakah perbezaan antara PHP dan ASP.NET?Apr 28, 2025 pm 04:56 PM

Artikel ini membandingkan PHP dan ASP.NET, memberi tumpuan kepada kesesuaian mereka untuk aplikasi web berskala besar, perbezaan prestasi, dan ciri keselamatan. Kedua-duanya berdaya maju untuk projek besar, tetapi PHP adalah sumber terbuka dan bebas platform, sementara ASP.NET,

Adakah PHP adalah bahasa sensitif kes?Adakah PHP adalah bahasa sensitif kes?Apr 28, 2025 pm 04:55 PM

Kepekaan kes PHP berbeza -beza: Fungsi tidak sensitif, manakala pembolehubah dan kelas sensitif. Amalan terbaik termasuk penamaan yang konsisten dan menggunakan fungsi kes-insensitif untuk perbandingan.

See all articles

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

Video Face Swap

Video Face Swap

Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

Alat panas

MinGW - GNU Minimalis untuk Windows

MinGW - GNU Minimalis untuk Windows

Projek ini dalam proses untuk dipindahkan ke osdn.net/projects/mingw, anda boleh terus mengikuti kami di sana. MinGW: Port Windows asli bagi GNU Compiler Collection (GCC), perpustakaan import yang boleh diedarkan secara bebas dan fail pengepala untuk membina aplikasi Windows asli termasuk sambungan kepada masa jalan MSVC untuk menyokong fungsi C99. Semua perisian MinGW boleh dijalankan pada platform Windows 64-bit.

SublimeText3 versi Inggeris

SublimeText3 versi Inggeris

Disyorkan: Versi Win, menyokong gesaan kod!

SublimeText3 Linux versi baharu

SublimeText3 Linux versi baharu

SublimeText3 Linux versi terkini

SublimeText3 versi Mac

SublimeText3 versi Mac

Perisian penyuntingan kod peringkat Tuhan (SublimeText3)

Muat turun versi mac editor Atom

Muat turun versi mac editor Atom

Editor sumber terbuka yang paling popular