cookie的httponly的设置(可简单仿XSS攻击)
httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。为了缓解XSS(跨站点脚本攻击)带来的信息泄露风险,Internet Explorer 6 SP1为Cookie引入了一个新属性。这个属性规定,不许通过客户端脚本访问cookie。使用HTTP-only Cookie后,Web 站点就能排除cookie中的敏感信息被发送给黑客的计算机或者使用脚本的Web站点的可能性。
演示1:没有设置httponly的cookie
<code><?php</code>
<code>setcookie(</code><code>"test_username"</code><code>, </code><code>"testnamedfs"</code><code>, time()+3600, </code><code>"/"</code><code>, </code><code>""</code><code>, false);</code>
<code>?></code>
<code><h1>演示:没有设置httponly的cookie</h1></code>
<code><h2>【php后台代码可以获取cookie,js或浏览器也可以获取cookie】</h2></code>
<code>echo</code> <code>'php打印出cookie:<pre />'</code><code>;</code>
<code>print_r(</code><code>$_COOKIE</code><code>);</code>
<code><hr /></code>
<code><script></code>
<code>document.write(</code><code>'js获取到的cookie:'</code><code>+document.cookie);</code>
<code></script></code>
演示2:设置了httponly的cookie
<code>setcookie(</code><code>"test_username"</code><code>, </code><code>"testnamedfs"</code><code>, time()+3600, </code><code>"/"</code><code>, </code><code>""</code><code>, false, true);</code>
<code><h1>演示:设置了httponly的cookie</h1></code>
<code><h2>【php后台代码可以获取cookie,js或浏览器 不可以 获取cookie】</h2></code>
总结:
1、网站设置了httponly后,前台任何客户端(如:js、浏览器等)都不能获取到cookie。只能通过后台代码获取(如:java、php代码)。
2、存在浏览器兼容性,比如cookie设置了httponly,火狐浏览器依然能显示cookie。
3、适用情况:前台cookie都是从后台传递判断。不需要js获取。
网上资料:
<a href="http://desert3.iteye.com/blog/869080" target="_blank">http://desert3.iteye.com/blog/869080</a>
<a href="http://geeksavetheworld.com/blog/2013/10/09/php-set-cookie-httponly-to-prevent-xss-attack/" target="_blank">http://geeksavetheworld.com/blog/2013/10/09/php-set-cookie-httponly-to-prevent-xss-attack/</a>
<a href="http://hi.baidu.com/huazai7418/item/293a16a92225a81ca8cfb78c" target="_blank">http://hi.baidu.com/huazai7418/item/293a16a92225a81ca8cfb78c</a>
本文转自许琴 51CTO博客,原文链接:http://blog.51cto.com/xuqin/1389919,如需转载请自行联系原作者
![GitHub连夜封杀!这份阿里 10W 字内部 Java 字面试手册到底有多强?[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)