HttpOnly 與cookie安全

發(fā)布時(shí)間：2020-09-08 07:22:24 來(lái)源：網(wǎng)絡(luò) 閱讀：867 作者：劍眉欄目：安全技術(shù)

在xss***中，有種方式便是身份偽造，***者通過(guò)惡意腳本獲取用戶(hù)的cookie信息，以此cookie信息偽造真實(shí)用戶(hù)去訪問(wèn)用戶(hù)的私密空間。

在本片文章中，我們談及httponly與cookied的安全問(wèn)題。

httponly最早由微軟提出，即瀏覽器禁止頁(yè)面js訪問(wèn)帶有HttpOnly屬性的cookie。HttpOnly并不直接對(duì)抗XSS***，只是防止XSS***者竊取cookie。對(duì)于存放敏感信息的cookie，可以通過(guò)設(shè)置該屬性來(lái)避免***者竊取cookie。

下面談?wù)勅绾伍_(kāi)啟HttpOnly屬性，其實(shí)在php.ini中我們開(kāi)啟就行,就像這樣：

HttpOnly 與cookie安全

，或在會(huì)話中開(kāi)啟會(huì)話級(jí)別的HttpOnly屬性：ini_set()。

關(guān)于其它的問(wèn)題詳見(jiàn)：http://netsecurity.51cto.com/art/201305/393775.htm

關(guān)于cookie的覆蓋問(wèn)題見(jiàn)：http://netsecurity.51cto.com/art/201404/435401.htm

向AI問(wèn)一下細(xì)節(jié)

HttpOnly 與cookie安全

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽