cookie的httponly的设置(可简单仿XSS攻击)
httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。为了缓解XSS(跨站点脚本攻击)带来的信息泄露风险,Internet Explorer 6 SP1为Cookie引入了一个新属性。这个属性规定,不许通过客户端脚本访问cookie。使用HTTP-only Cookie后,Web 站点就能排除cookie中的敏感信息被发送给黑客的计算机或者使用脚本的Web站点的可能性。
演示1:没有设置httponly的cookie
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
<?php
setcookie(
"test_username"
,
"testnamedfs"
, time()+3600,
"/"
,
""
, false);
?>
<h1>演示:没有设置httponly的cookie</h1>
<h2>【php后台代码可以获取cookie,js或浏览器也可以获取cookie】</h2>
<?php
echo
'php打印出cookie:<pre />'
;
print_r(
$_COOKIE
);
?>
<hr />
<script>
document.write(
'js获取到的cookie:'
+document.cookie);
</script>
|
演示2:设置了httponly的cookie
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
<?php
setcookie(
"test_username"
,
"testnamedfs"
, time()+3600,
"/"
,
""
, false, true);
?>
<h1>演示:设置了httponly的cookie</h1>
<h2>【php后台代码可以获取cookie,js或浏览器 不可以 获取cookie】</h2>
<?php
echo
'php打印出cookie:<pre />'
;
print_r(
$_COOKIE
);
?>
<hr />
<script>
document.write(
'js获取到的cookie:'
+document.cookie);
</script>
|
总结:
1、网站设置了httponly后,前台任何客户端(如:js、浏览器等)都不能获取到cookie。只能通过后台代码获取(如:java、php代码)。
2、存在浏览器兼容性,比如cookie设置了httponly,火狐浏览器依然能显示cookie。
3、适用情况:前台cookie都是从后台传递判断。不需要js获取。
网上资料:
http://desert3.iteye.com/blog/869080
http://geeksavetheworld.com/blog/2013/10/09/php-set-cookie-httponly-to-prevent-xss-attack/
http://hi.baidu.com/huazai7418/item/293a16a92225a81ca8cfb78c
本文转自许琴 51CTO博客,原文链接:http://blog.51cto.com/xuqin/1389919,如需转载请自行联系原作者
