注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

天朝布衣田中码农参上

苦逼码农的点点滴滴,请多多指教!

 
 
 

日志

 
 
 
 

PHP设置Cookie的HttpOnly属性  

2017-04-26 14:32:28|  分类: PHP |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
Cookie的HttpOnly属性标志是微软对cookie做的扩展,主要是为了解决用户的cookie可能被盗用的问题。大多的网站都会在用户访问时【尤其是登录之后】,服务器会写一些cookie到本地的浏览器,而当下次再访问时,由于浏览器会自动将之前保存的cookie信息传递给服务器,所以网站可以记住我们的身份信息。实质上,所有的登陆状态或个人信息都是建立在cookie的基础之上的!如果cookie被人获得,那就有很大可能会有暴露个人信息的危险!当然一般情况下,肯定是安全的。但是,如果网站被植入了恶意的javascript或flash程序,同时这些程序又可以访问cookie,那么这个问题就会开始变得很大了,所以360网站安全扫描中也把此做为一个轻微级的漏洞列出。
PHP设置Cookie的HttpOnly属性 - sinsunson - 天朝布衣田中码农参上
好了,说了这么多,大家也能够理解,那么就来示范下要如何使用PHP设置Cookie的HttpOnly属性。
1)方法一【全局】:PHP5.2以上版本已开始支持HttpOnly参数,同样也支持HttpOnly全局设置,在php.ini中找到session.cookie_httponly = 这行将之改为如下:

session.cookie_httponly = 1
;或
;session.cookie_httponly = True

记得重启下apache或php-fpm什么的,才能起效果。
2)方法二:在代码中来开启:

<?php
@ini_set("session.cookie_httponly", 1);
//或者如下
//@session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
?>

3)方法三:操作函数中多加一个参数,Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项。

<?php
setcookie("site", "www.593668.com", NULL, NULL, NULL, NULL, TRUE);
setrawcookie("site", "www.593668.com", NULL, NULL, NULL, NULL, TRUE);
?>

4)方法四:对于PHP5.1之前版本以及PHP4版本的话,则需要通过header函数来变通。

<?php
header("Set-Cookie: hidden=value; httpOnly");
?>

好了,利用如上方法,就可以把网站的轻微级漏洞给补上了,这样网站的安全评分也可以更高哦。




  评论这张
 
阅读(1)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017