httpOnly实现防止XSS时避免JavaScript读取cookie-阿里云开发者社区

开发者社区> 开发与运维> 正文
登录阅读全文

httpOnly实现防止XSS时避免JavaScript读取cookie

简介:

如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因。


实现方式:


PHP中的设置
    1.在php.ini中
 session.cookie_httponly = true

 

    2.在程序中全局设定:
 <?php
  ini_set("session.cookie_httponly", 1);
 // or
  session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
 ?>

    3.Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:

 setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
 setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
 

    4.对于PHP5.1以前版本以及PHP4版本的话,则需要通过header函数来变通下了:


  header("Set-Cookie: hidden=value; httpOnly");
 









本文转自 hgditren 51CTO博客,原文链接:http://blog.51cto.com/phpme/1771572,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章
最新文章
相关文章