温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

HttpOnly 与cookie安全

发布时间:2020-09-08 07:22:24 来源:网络 阅读:868 作者:剑眉 栏目:安全技术

在xss***中,有种方式便是身份伪造,***者通过恶意脚本获取用户的cookie信息,以此cookie信息伪造真实用户去访问用户的私密空间。

在本片文章中,我们谈及httponly与cookied的安全问题。

httponly最早由微软提出,即浏览器禁止页面js访问带有HttpOnly属性的cookie。HttpOnly并不直接对抗XSS***,只是防止XSS***者窃取cookie。对于存放敏感信息的cookie,可以通过设置该属性来避免***者窃取cookie。

下面谈谈如何开启HttpOnly属性,其实在php.ini中我们开启就行,就像这样:

HttpOnly 与cookie安全

,或在会话中开启会话级别的HttpOnly属性:ini_set()。


关于其它的问题详见:http://netsecurity.51cto.com/art/201305/393775.htm

关于cookie的覆盖问题见:http://netsecurity.51cto.com/art/201404/435401.htm




向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI