HttpOnly 与cookie安全

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HttpOnly 与cookie安全相关的知识,希望对你有一定的参考价值。

在xss攻击中,有种方式便是身份伪造,攻击者通过恶意脚本获取用户的cookie信息,以此cookie信息伪造真实用户去访问用户的私密空间。

在本片文章中,我们谈及httponly与cookied的安全问题。

httponly最早由微软提出,即浏览器禁止页面js访问带有HttpOnly属性的cookie。HttpOnly并不直接对抗XSS攻击,只是防止XSS攻击者窃取cookie。对于存放敏感信息的cookie,可以通过设置该属性来避免攻击者窃取cookie。

下面谈谈如何开启HttpOnly属性,其实在php.ini中我们开启就行,就像这样:

技术分享

,或在会话中开启会话级别的HttpOnly属性:ini_set()。


关于其它的问题详见:http://netsecurity.51cto.com/art/201305/393775.htm

关于cookie的覆盖问题见:http://netsecurity.51cto.com/art/201404/435401.htm




本文出自 “岁月” 博客,请务必保留此出处http://moron.blog.51cto.com/9245572/1775080

以上是关于HttpOnly 与cookie安全的主要内容,如果未能解决你的问题,请参考以下文章

没有设置安全标志和 HttpOnly 标志的 Cookie

如何获取 httpOnly(安全)cookie TestCafe?

SessionAuthenticationModule Cookie 处理程序未创建 HttpOnly 安全 cookie

在 PHP 中的 PHPSESSID cookie 上设置 httpOnly 和安全

安全修复之Web——会话Cookie中缺少HttpOnly属性

70)PHP,cookie的安全传输和HTTPonly