X
活动推荐

阿里云高性能云主机2折293元/年

企业级性能云服务器限时2折起
新用户5折爆款服务器会场
查看详情
阅读模式:

php设置cookie为HttpOnly防止XSS攻击

查看:10904  回复:0  类型:  来源:php自学网  标签 web安全

    什么时XSS攻击?   

    XSS攻击(Cross Site Scripting)中文名为跨站脚本攻击,XSS攻击时web中一种常见的漏洞。通过XSS漏洞可以伪造目标用户登录,从而获取登录后的账号操作。

    网站账号登录过程中的简单步骤

    web网页中在用户登录的时候,通过表单把用户输入的账号密码进行后台数据库的验证,验证通过后利用session会话进行用户登录后的判别是否登录,在session的这个过程中服务器会在服务器中写入一个文件并记录sessionid,然后也会在浏览器中设置cookie,保存sessionid,服务器和客户端之间利用这个sessionid进行通信识别。如果客户端发送sessionid给服务器服务器没有找到,则说明服务器中的这个文件已经过期删除了。那用户这边就需要重新登录了。

    XSS攻击的流程

    思路:通过获取目标用户登录后的sessionid,保存到自己的电脑,然后在自己的电脑上设置获取到的sessionid进行账号登录后的操作。通过sessionid伪造请求登录,直接跳过账号密码登录操作就能进去。

    比如:

        给目标用户发送一个有吸引力的邮件,邮箱中包含一个链接,当用户点击链接跳转到一个伪造的页面,这个伪造的页面中包含了获取目标用户浏览器中cookie的javascript代码获取到cookie中的sessionid后再传送到攻击者的服务器中;或者在站点中的可插入数据的地方进行在html中写行内的javascript代码执行操作(< IMG SRC="jav ascript:alert('XSS');" >;);还可以当在一个公共wifi环境下,进行可账号登录操作,wifi路由器的管理员可以通过抓包工具抓包直接抓包查看到你的sessionid,所以不要在公共wifi下进行敏感操作,是很不安全的。

    提高安全性的设置

        方法一:在php.ini配置文件中进行cookie只读设置的开启

#搜索session.cookie_httponly = 
session.cookie_httponly = On

        方法二:在php代码顶部设置

<?php 
    ini_set("session.cookie_httponly", 1);
    #(php5.1以前版本设置方法:header("Set-Cookie: hidden=value; httpOnly");)     
?>


分享到:
0 0

*有问题之处烦请在评论中指出非常感谢!
不是我想要的内容,继续搜索:

扫描二维码手机查看

发布评论:


登录:
  表情:
评论话题
推荐阅读:
“米粉节”背后的故事——小米网抢购系统开发实践   阅读:3534面试都会问你为什么你从上一家公司离职的真实意思   阅读:9678用php从1乘到100的值   阅读:5511php冒泡排序法   阅读:12164HTTP 1.1 协议详解   阅读:8028centos7.3安装mongodb3.6   阅读:6174php swoole搭建简单的聊天室   阅读:2403面试的时候和你谈理想,是理想or入坑?   阅读:8476centos 7 忘记root密码   阅读:4103mysql数据库性能的基本优化   阅读:3968php 使用 smtp.php 类在线发送邮件功能   阅读:4769php 生成图片,给图片加水印   阅读:4853php打印九九乘法表   阅读:8014php 生成图片,给图片加水印   阅读:4853面试都会问你为什么你从上一家公司离职的真实意思   阅读:9678mysql中文分词全文搜索索引讯搜的安装   阅读:5714PHP 鸟哥:我也曾经是“不适合”编程的人   阅读:12231javascript点击复制内容   阅读:5673nginx编译安装后对nginx进行平滑升级   阅读:5208php连接redis   阅读:4914mysql 为什么添加索引可以提高访问速度   阅读:5230php 读取和设置redis的键值   阅读:6475知乎百万赞作者告诉你:年薪百万的人都在靠什么赚钱   阅读:5318给网站添加一键新浪微博登录的功能   阅读:5806php翻转字符串   阅读:2627Mysql在大型网站的应用架构演变   阅读:3904最简单的Banner轮播淡入淡出效果代码及实现思路(附带源码)   阅读:11970nginx安装mysql和json模块   阅读:3490nginx安装redis模块   阅读:3492shell脚本批量删除几天前的文件   阅读:8006HTTP 1.1 协议详解   阅读:8028shell脚本破解十位数内的所有纯数字rar加密压缩包脚本   阅读:7563mysql数据一键导出到csv文件   阅读:4794知乎百万赞作者告诉你:年薪百万的人都在靠什么赚钱   阅读:5318爱编程,也爱健康   阅读:3537简单的DOS攻击之死亡之ping详解   阅读:42748最简单的Banner轮播左右切换效果代码及实现思路(附带源码)   阅读:28677php文件下载防盗链   阅读:8713centos 7 安装 redis 3.2.9   阅读:5772php 获取当前前后年、月、星期、日、时分秒的时间   阅读:5593php显示刚刚、几分钟前、几小时前、几天前的函数   阅读:7040mysql共享锁和排他锁详解   阅读:6194php 获取当前前后年、月、星期、日、时分秒的时间   阅读:5593linux php7安装yaf扩展   阅读:7029centos 7 安装 samba 服务   阅读:5607php删除一个文件夹内的所有文件夹和文件   阅读:4151php 统计网页打开耗时和脚本运行内存   阅读:5910php 读取和设置redis的键值   阅读:6475十张GIF让你弄懂递归等概念   阅读:5218centos7.3安装mongodb3.6   阅读:6174