利用HttpOnly来防御xss攻击
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的站点出现xss漏洞,就能够运行随意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,假设这里面包括了大量敏感信息(身份信息,管理员信息)等,那完了。。。
例如以下js获取cookie信息:
一般cookie都是从document对象中获取的,如今浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的參数,跟domain等其它參数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。
PHP设置HttpOnly:
对于PHP5.1曾经版本号的PHP通过:
最后,HttpOnly不是万能的!