< 文章詳情

檢測到回話中缺少HTTPOnly屬性修復方法

2019/10/3 312次
setcookie的httponly屬性如果設為true的話,會增加對xss防護的安全系數。它有以下特點:

1、setcookie()的第七個參數
2、設為true后,只能通過http訪問,javascript無法訪問
3、防止xss讀取cookie
4、php5.2以上版本已支持HttpOnly參數的設置,同樣也支持全局的HttpOnly的設置,在php.ini中,session.cookie_httponly = ture 來開啟全局的Cookie的HttpOnly屬性,當然也支持在代碼中來開啟:
<?php

ini_set("session.cookie_httponly", 1);
// or
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
?>
Cookie操作函數setcookie函數和setrawcookie函數也專門添加了第7個參數來做為HttpOnly的選項,開啟方法為:
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
5、對于PHP5.1以前版本以及PHP4版本的話,則需要通過header函數來變通下了:
<?php

header("Set-Cookie: hidden=value; httpOnly");
?>
优信彩票网平台怎么样