Cookie隐私与HttpOnly

现在很多的攻击都是通过JS渠道攻击的,而Cookie也常常被人利用,由于设计原因,Cookie保存在客户端硬盘上,所以它注定不安全。有没有好办法对Cookie做一些保护措施呢?其实是有的,大家可以百度下:HttpOnly;度娘答得比天南好。

如果我们在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能一定程度上防止XSS攻击。

<?php
header('Content-Type:text/html;Charset=UTF-8',true);
setcookie('demo_cookie', '888666', time() + 3600 * 24,NULL,NULL,NULL,TRUE);//最后一个参数为HttpOnly属性
?>
<script>
    alert(document.cookie.split(';'));//可以看到弹出的信息里并没有名为demo_cookie这个键值对
</script>

 

发布者:天南

一个好人

留下评论

电子邮件地址不会被公开。 必填项已用*标注