cookie的httponly的设置(可简单仿XSS攻击)

cookie的httponly的设置(可简单仿XSS攻击)


httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。为了缓解XSS(跨站点脚本攻击)带来的信息泄露风险,Internet Explorer 6 SP1为Cookie引入了一个新属性。这个属性规定,不许通过客户端脚本访问cookie。使用HTTP-only Cookie后,Web 站点就能排除cookie中的敏感信息被发送给黑客的计算机或者使用脚本的Web站点的可能性。


演示1:没有设置httponly的cookie

1
2
3
4
5
6
7
8
9
10
11
12
13
setcookie( "test_username" "testnamedfs" , time()+3600,  "/" "" , false);
?>

演示:没有设置httponly的cookie

【php后台代码可以获取cookie,js或浏览器也可以获取cookie】

echo  'php打印出cookie:
' 
           ; 
          
print_r( $_COOKIE );
?>


演示2:设置了httponly的cookie

1
2
3
4
5
6
7
8
9
10
11
12
13
setcookie( "test_username" "testnamedfs" , time()+3600,  "/" "" , false, true);
?>

演示:设置了httponly的cookie

【php后台代码可以获取cookie,js或浏览器 不可以 获取cookie】

echo  'php打印出cookie:
' 
           ; 
          
print_r( $_COOKIE );
?>


总结:

1、网站设置了httponly后,前台任何客户端(如:js、浏览器等)都不能获取到cookie。只能通过后台代码获取(如:java、php代码)。

2、存在浏览器兼容性,比如cookie设置了httponly,火狐浏览器依然能显示cookie。

3、适用情况:前台cookie都是从后台传递判断。不需要js获取。


网上资料:

http://desert3.iteye.com/blog/869080

http://geeksavetheworld.com/blog/2013/10/09/php-set-cookie-httponly-to-prevent-xss-attack/

http://hi.baidu.com/huazai7418/item/293a16a92225a81ca8cfb78c




   本文转自许琴 51CTO博客,原文链接:http://blog.51cto.com/xuqin/1389919,如需转载请自行联系原作者







你可能感兴趣的:(cookie的httponly的设置(可简单仿XSS攻击))