php cookie 取消httponly
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了php cookie 取消httponly相关的知识,希望对你有一定的参考价值。
php cookie 取消httponly
setcookie('test','testval',time()+3600,'/',null,null,false);
httponly属性设置了false但是客户端获得的header是
Set-Cookie:test=testval; expires=Sat, 30-Sep-2017 15:58:53 GMT; Max-Age=3600; path=/; HttpOnly
并且浏览器控制台http也勾选并且js无法获取cookie
php5630
请看清楚题目,谢谢
环境kangle
利用HttpResponse的addHeader方法,设置Set-Cookie的值
cookie字符串的格式:key=value; Expires=date; Path=path; Domain=domain; Secure; HttpOnly
//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");
在实际使用中,我们可以使FireCookie查看我们设置的Cookie 是否是HttpOnly追问
看看清楚我要取消httponly
参考技术A 楼主我也是要去掉httponly ,设置了false也不起作用,要抓狂了,,楼主是怎么解决的,谢谢HttpOnly 与cookie安全
在xss攻击中,有种方式便是身份伪造,攻击者通过恶意脚本获取用户的cookie信息,以此cookie信息伪造真实用户去访问用户的私密空间。
在本片文章中,我们谈及httponly与cookied的安全问题。
httponly最早由微软提出,即浏览器禁止页面js访问带有HttpOnly属性的cookie。HttpOnly并不直接对抗XSS攻击,只是防止XSS攻击者窃取cookie。对于存放敏感信息的cookie,可以通过设置该属性来避免攻击者窃取cookie。
下面谈谈如何开启HttpOnly属性,其实在php.ini中我们开启就行,就像这样:
,或在会话中开启会话级别的HttpOnly属性:ini_set()。
关于其它的问题详见:http://netsecurity.51cto.com/art/201305/393775.htm
关于cookie的覆盖问题见:http://netsecurity.51cto.com/art/201404/435401.htm
本文出自 “岁月” 博客,请务必保留此出处http://moron.blog.51cto.com/9245572/1775080
以上是关于php cookie 取消httponly的主要内容,如果未能解决你的问题,请参考以下文章
在从 php 会话注销期间取消设置 cookie 有啥意义?