• 点击联系客服

    全都有综合资源网

    分享赚钱

    一个专业的免费资源网

    每天更新100+优质资源

  • 手机版二维码

    随时手机查素材

  • 扫描二维码

    加入官方微信群

php设置cookie为HttpOnly防止XSS攻击的方法

技术文章 每日更新
2024-7-22 11:04 92人浏览 0人回复
原作者: 全都有综合资源网 来自: 全都有综合资源网 收藏 分享 邀请
摘要

什么时XSS攻击? XSS攻击(Cross Site Scripting)中文称为跨站脚本攻击。XSS攻击是web中常见的漏洞。利用XSS漏洞可以伪造目标用户的登录,从而获得登录后的账户操作。 登录过程中的简单步骤 当用户登录网页时,通过表 ...

 
什么时XSS进犯?
XSS进犯(Cross Site Scripting)中文称为跨站剧本进犯。XSS进犯是web中常见的缝隙。操纵XSS缝隙可以捏造方针用户的登录,从而获得登录后的账户操纵。
登录进程中的简单步调
当用户登录网页时,经过表单在背景数据库中考证用户输入的帐户密码。考证通事后,session session用于判定用户能否登录。在会话进程中,办事器会在办事器中写一个文件,记录sessionid,然后在阅读器中设备一个cookie来保存sessionid,用于办事器和客户端之间的通讯标识。假如找不到客户端发送给办事器的sessionid,说明办事器中的这个文件已经过期,被删除了。然后用户需要再次登录。
XSS进犯的流程
思绪:经过企业获得成长方针治理用户可以登录后的sessionid,保存到门生自己的电脑,然后在自己的电脑上设备获得到的sessionid停止一个账号信息登录后的操纵。经过sessionid捏造数据请求登录,间接跳过账号密码能否登录功用操纵才能就能进去。
比如:
发送一个有吸引力的电子邮件给方针用户,其中包括一个链接,当用户点击链接,它重定向到一个假的页面,假的页面包括 javascript 代码获得 Cookie 在方针用户的阅读器,获得 sessionid 在 Cookie,然后转移到进犯者的办事器或写在线 javascript 代码在 HTML 中的数据可以插入到网站(< IMG SRC=“jav ascript:alert(‘XSS‘);“ >;) 大概当登录到公共 wifi 情况中的帐户时,wifi 路由器治理员可以经过抓取工具间接看到你的 sessionid,所以在公共 wifi 情况中停止敏感操纵是不服安的。

php设备cookie为HttpOnly避免XSS进犯的方式398 作者:全都有综合资本网 来历:全都有综合资本网 公布时候:2024-7-22 11:04

    进步平安性的设备

方式一:在php.ini设置文件中停止cookie只读设备的开启

layui-box layui-code-view" style="margin-top: 0px; margin-bottom: 10px; padding: 9.5px; -webkit-tap-highlight-color: rgba(0, 0, 0, 0); white-space: pre-wrap; overflow-wrap: break-word; box-sizing: border-box; position: relative; font-size: 13px; border: 1px solid rgb(204, 204, 204); background-color: rgb(245, 245, 245); color: rgb(51, 51, 51); font-family: Menlo, Monaco, Consolas, "Courier New", monospace; overflow: auto; line-height: 1.42857; word-break: break-all; border-radius: 4px;">
code
  1. #搜索session.cookie_httponly = 
  2. session.cookie_httponly = On

方式二:在php代码顶部设备

code
  1. <?php 
  2.     ini_set("session.cookie_httponly", 1);
  3.     #(php5.1之前版本设备方式:header("Set-Cookie: hidden=value; httpOnly");)     
  4. ?>
©版权免责声明
1、本站所有资源均来自用户上传及互联网。 如有侵权,请联系站长!
2、分享目的仅供大家学习交流。 下载后必须在24小时内删除!
3、不得用于非法商业目的或违反国家法律。 否则,后果自负!
4、本站提供的源代码、模板、插件等资源不包含技术服务。 敬请谅解!
5.如果出现无法下载、无效或有广告的链接,请联系管理员寻求帮助!
6、本站资源价格仅用于赞助,所收取的费用仅用于维持本站日常运营!
7、如果遇到加密压缩包,请使用WINRAR解压。 如果遇到无法解压的加密压缩包,请联系管理员!
8、由于精力有限,很多源代码无法详细测试(解密),部分源代码无法区分为病毒或误报,所以没有进行修改。 请在使用前进行筛选。
本文网址:
联系客服
PHP, XSS攻击, cookie, HttpOnly

路过
雷人
握手
鲜花
鸡蛋
上一篇:PHP如何阻止XSS跨站和安全预防脚本攻击过滤(通用版)
下一篇:php防sql注入过滤代码的方法
推荐阅读
热门教程
专业的免费源码资源分享平台
每天更新100+资源

招募版主发工资

  • 官方在线客服

    QQ客服:红颜

    点击交谈

    在线客服:良子

    点击交谈

    在线客服:闵月

    点击交谈

  • 上海市虹口区海伦中心B座4F4055-4056室

  • 手机扫码查看手机版

    手机查找资源更方便

  • 扫一扫关注官方微信公众号

    加入官方微信

一个专业的免费源码资源互联网分享平台 ©2001-2024 https://www.douyouvip.com全都有综合资源网( 豫ICP备2024057239号-1 )赞助会员|网站地图 HTML
全都有综合资源网,WordPress主题PHP源码,PHP网站源码,网站模板,软件源码,网站源码免费下载,免费网站源码,网站源码模板,免费网站源码下载,wp免费源码,wp免费主题下载,PHP企业网站源码,软件源码下载