在xss * * *中,有种方式便是身份伪造,* * *者通过恶意脚本获取用户的饼干信息,以此cookie信息伪造真实用户去访问用户的私密空间。
在本片文章中,我们谈及httponly与饼干的安全问题。
httponly最早由微软提出,即浏览器禁止页面js访问带有httponly属性的cookie.HttpOnly并不直接对抗xss * * *,只是防止xss * * *者窃取饼干。对于存放敏感信息的饼干,可以通过设置该属性来避免* * *者窃取饼干。
下面谈谈如何开启httponly属性,其实在php。ini中我们开启就行,就像这样:
,或在会话中开启会话级别的HttpOnly属性:报错()。
关于其它的问题详见:http://netsecurity.51cto.com/art/201305/393775.htm
关于饼干的覆盖问题见:http://netsecurity.51cto.com/art/201404/435401.htm
